16svi 2022

Nova verzija standarda sustava upravljanja sigurnošću informacija ISO/IEC 27001

Nova verzija standarda sustava upravljanja sigurnošću

informacija ISO/IEC 27001

ISO/IEC 27001 je standard sustava upravljanja sigurnošću informacija koji postavlja univerzalne najbolje prakse za stvaranje i održavanje sustava upravljanja informacijskom sigurnošću (ISMS).

Ovaj standard pomaže organizacijama u zaštiti povjerljivosti, integriteta i dostupnosti svojih informacija. Ova tri elementa čine osnovu dobre informacijske sigurnosti. ISO/IEC 27001 pomaže u zaštiti informacija u bilo kojem obliku, ali kibernetička sigurnost — koja štiti digitalne informacije — igra glavnu ulogu. Poput ostalih standarda ISO sustava upravljanja, zahtjevi ISO/IEC 27001 izrađeni su tako da oblikuju poslovne procese organizacije, ali zbog tehničke prirode informacijske sigurnosti, ovaj standard uključuje posebne sigurnosne kontrole koje organizacije moraju slijediti. ISO/IEC 27001 ih definira u Prilogu A.

Međutim, Prilog A ne daje pojedinosti o tim kontrolama. Te pojedinosti definirane su u ISO/IEC 27002 Sigurnosne tehnike i Kodeks prakse za kontrolu sigurnosti informacija. Ovaj standard sadrži potpune sigurnosne kontrole navedene u Aneksu A standarda ISO/IEC 27001. ISO/IEC 27002 služi kao dokumentirana informacija s uputama, objašnjavajući sigurnosne kontrole na koje upućuje ISO/IEC 27001 certifikacijski standard.

Ažuriranja iz 2022. primjenjuju se na sigurnosne kontrole standarda ISO/IEC 27002. Dodatak A standarda ISO/IEC 27001 također će se ažurirati kako bi odražavao te promjene.

Prethodna verzija Dodatka A (ISO/IEC 27001:2013) sadržavala je 114 kontrola u 14 kategorija. Nova verzija sadrži 93 kontrole u 4 kategorije. Tehnički, nova verzija sadrži manje kontrola no, veliki dio tog smanjenja dolazi od suvišnih kontrola koje su spojene.

ISO 27002:2022 zapravo dodaje 11 kompletno novih kontrola u Prilog A:

  • Obavještajni podaci o prijetnjama
  • Sigurnost informacija za korištenje usluga u oblaku
  • ICT spremnost za kontinuitet poslovanja
  • Nadzor fizičke sigurnosti
  • Upravljanje konfiguracijom
  • Brisanje informacija
  • Maskiranje podataka
  • Sprječavanje curenja podataka
  • Praćenje aktivnosti
  • Web filtriranje
  • Sigurnosno kodiranje

ISO 27002:2022 objavljen je 15. veljače 2022. godine, međutim, ažuriranja ISO 27001 trebala bi biti objavljena u listopadu 2022. godine, iako točan datum nije objavljen.