Nova verzija standarda sustava upravljanja sigurnošću informacija ISO/IEC 27001
Nova verzija standarda sustava upravljanja sigurnošću
informacija ISO/IEC 27001
ISO/IEC 27001 je standard sustava upravljanja sigurnošću informacija koji postavlja univerzalne najbolje prakse za stvaranje i održavanje sustava upravljanja informacijskom sigurnošću (ISMS).
Ovaj standard pomaže organizacijama u zaštiti povjerljivosti, integriteta i dostupnosti svojih informacija. Ova tri elementa čine osnovu dobre informacijske sigurnosti. ISO/IEC 27001 pomaže u zaštiti informacija u bilo kojem obliku, ali kibernetička sigurnost — koja štiti digitalne informacije — igra glavnu ulogu. Poput ostalih standarda ISO sustava upravljanja, zahtjevi ISO/IEC 27001 izrađeni su tako da oblikuju poslovne procese organizacije, ali zbog tehničke prirode informacijske sigurnosti, ovaj standard uključuje posebne sigurnosne kontrole koje organizacije moraju slijediti. ISO/IEC 27001 ih definira u Prilogu A.
Međutim, Prilog A ne daje pojedinosti o tim kontrolama. Te pojedinosti definirane su u ISO/IEC 27002 Sigurnosne tehnike i Kodeks prakse za kontrolu sigurnosti informacija. Ovaj standard sadrži potpune sigurnosne kontrole navedene u Aneksu A standarda ISO/IEC 27001. ISO/IEC 27002 služi kao dokumentirana informacija s uputama, objašnjavajući sigurnosne kontrole na koje upućuje ISO/IEC 27001 certifikacijski standard.
Ažuriranja iz 2022. primjenjuju se na sigurnosne kontrole standarda ISO/IEC 27002. Dodatak A standarda ISO/IEC 27001 također će se ažurirati kako bi odražavao te promjene.
Prethodna verzija Dodatka A (ISO/IEC 27001:2013) sadržavala je 114 kontrola u 14 kategorija. Nova verzija sadrži 93 kontrole u 4 kategorije. Tehnički, nova verzija sadrži manje kontrola no, veliki dio tog smanjenja dolazi od suvišnih kontrola koje su spojene.
ISO 27002:2022 zapravo dodaje 11 kompletno novih kontrola u Prilog A:
- Obavještajni podaci o prijetnjama
- Sigurnost informacija za korištenje usluga u oblaku
- ICT spremnost za kontinuitet poslovanja
- Nadzor fizičke sigurnosti
- Upravljanje konfiguracijom
- Brisanje informacija
- Maskiranje podataka
- Sprječavanje curenja podataka
- Praćenje aktivnosti
- Web filtriranje
- Sigurnosno kodiranje
ISO 27002:2022 objavljen je 15. veljače 2022. godine, međutim, ažuriranja ISO 27001 trebala bi biti objavljena u listopadu 2022. godine, iako točan datum nije objavljen.