Az ISO/IEC 27001 és az ISO/IEC 27002 egyaránt felülvizsgálat alatt áll. Az ISO/IEC 27002 a tervek szerint 2022 januárban jelenik meg, az ISO/IEC 27001 pedig nem sokkal később követi. A Nemzetközi Szabványügyi Szervezet (ISO)/Nemzetközi Elektrotechnikai Bizottság (IEC) közös műszaki bizottsága, az ISO/IEC JTC 1 közel 20 év után megváltoztatja az ISO/IEC 27001/27002 ellenőrzési keretrendszer szerkezetét.
Mi a különbség az ISO/IEC 27001 és az ISO/IEC 27002 között?
A szervezetek az ISO/IEC 27001 szabvány szerint tanúsítást szerezhetnek, de az ISO/IEC 27002 szabvány szerint nem. Az ISO/IEC 27001 az információbiztonsági irányítási rendszer létrehozására, bevezetésére, fenntartására és folyamatos fejlesztésére vonatkozó követelményeket dokumentálja, míg az ISO/IEC 27002-t úgy tervezték, hogy a szervezetek referenciaként használhassák a kontrollok kiválasztásához, és iránymutatást ad az információbiztonsági irányítási gyakorlatokra, beleértve a kontrollok végrehajtását és irányítását, figyelembe véve a szervezet információbiztonsági kockázati környezetét. A szervezetek olyan szabványok alapján tanúsíthatók, amelyek követelményeket fogalmaznak meg, útmutatást nyújtó szabványok alapján nem.
Az ISO/IEC 27001:2022 főbb változásai a következők:
- Az A. melléklet hivatkozik az ISO/IEC 27002:2022 szabványban szereplő kontrollokra, amely tartalmazza az adott kontroll címét és a kontrollt magát;
- A 6.1.3 c) pont megjegyzését szerkesztésileg átdolgozták, beleértve a "kontroll célok" törlését és az "információbiztonsági kontroll" helyettesítését „kontroll”-ra;
- A 6.1.3 d) pont szövegezése az egyértelműség és a félreérthetőség kiküszöbölése érdekében átdolgozásra került.
Kontrollokat érintő változások:
Az ISO/IEC 27002:2013 114 kontrollt tartalmaz 14 területen; az ISO/IEC 27002:2022 93 kontrollt tartalmaz majd 4 területen:
- 5. fejezet - Szervezeti (ha nem tartozik más terület alá) – 37 kontroll
- 6. fejezet - Emberek (ha egyes emberekre vonatkozik) – 8 kontroll
- 7. fejezet - Fizikai (ha fizikai tárgyakra vonatkozik) – 14 kontroll
- 8. fejezet - Technológiai (ha technológiára vonatkozik) – 34 kontroll.
Minden egyes kontrolhoz 5 ellenőrzési attribútum tartozik:
- Hogyan kell kategorizálni – megelőző, felderítő, javító
- Információbiztonsági tulajdonságok – bizalmasság, integritás, rendelkezésre állás
- Kiberbiztonsági fogalmak – azonosítás, védelem, észlelés, reagálás, helyreállítás
- Működési képességek – irányítás, eszközkezelés, információvédelem, emberi erőforrás biztonság, fizikai biztonság, rendszer- és hálózatbiztonság, alkalmazásbiztonság, biztonságos konfiguráció, személyazonosság- és hozzáférés-kezelés, fenyegetések és sebezhetőségek kezelése, folyamatosság, beszállítói kapcsolatok biztonsága, jogi és megfelelés, információbiztonsági eseménykezelés, információbiztonság biztosítása
- Biztonsági területek – irányítás és ökoszisztéma, védelem, ellenálló képesség.
Az ISO/IEC 27002 új változata 12 új ellenőrzési elemet vezetett be:
- A fenyegetések felderítése
- Személyazonosság-kezelés
- Információbiztonság a felhőszolgáltatások használatához
- Info-kommunikációs felkészültség az üzletmenet folytonosságához
- Fizikai biztonság felügyelete
- Felhasználói végponti eszközök
- Konfigurációkezelés
- Információk törlése
- Adatmaszkolás
- Adatszivárgás megelőzése
- Webszűrés
- Biztonságos kódolás
16 kontrollt töröltek, mivel azok megkettőződtek, vagy jobban illeszkednek más kontrollok alá:
- Az információbiztonságra vonatkozó politikák felülvizsgálata
- Mobileszköz-szabályzat
- Eszközök tulajdonjoga
- Eszközök kezelése
- Jelszókezelési rendszer
- Kézbesítési és rakodási területek
- Eszközök eltávolítása
- Felügyelet nélküli felhasználói berendezések
- A naplóadatok védelme
- A szoftverek telepítésének korlátozása
- Elektronikus üzenetküldés
- Az alkalmazásszolgáltatások védelme nyilvános hálózatokon
- Az alkalmazásszolgáltatások tranzakcióinak védelme
- Rendszerátvételi tesztek Információbiztonsági hiányosságok jelentése
- Technikai megfelelőség felülvizsgálata.
Van néhány kontroll, amelyeket módosítottak és integráltak, hogy egyetlen fő vezérlőelemmé váljanak. Néhány példa:
- A "Vagyon leltár" "Információk és egyéb kapcsolódó eszközök leltár" névre módosul.
- "Az eszközök elfogadható használata" "Az információk és egyéb kapcsolódó eszközök elfogadható használata" -ra módosult.
- A kriptográfiai ellenőrzésekre és kulcskezelésre stb. vonatkozó irányelv „A kriptográfiai ellenőrzések használata" címre változott.
- Az eseménynaplózás átnevezése "Naplózás"-ra.
- A rendszergazdai és üzemeltetői naplózás "Monitoring tevékenységek" címre változott.
- Az információátadási irányelvek és eljárások, az információátadásról szóló megállapodás stb. az "Információátadás" alatt egy fő ellenőrzésként egyesítve.
További információkért kérem, keresse fel irodánkat a felsorolt elérhetőségek valamelyikén.