logoEMT3

Híreink

Az új ISO/IEC 27001 és ISO/IEC 27002 tervezett változásai

Az ISO/IEC 27001 és az ISO/IEC 27002 egyaránt felülvizsgálat alatt áll. Az ISO/IEC 27002 a tervek szerint 2022 januárban jelenik meg, az ISO/IEC 27001 pedig nem sokkal később követi. A Nemzetközi Szabványügyi Szervezet (ISO)/Nemzetközi Elektrotechnikai Bizottság (IEC) közös műszaki bizottsága, az ISO/IEC JTC 1 közel 20 év után megváltoztatja az ISO/IEC 27001/27002 ellenőrzési keretrendszer szerkezetét.

 

Mi a különbség az ISO/IEC 27001 és az ISO/IEC 27002 között?
A szervezetek az ISO/IEC 27001 szabvány szerint tanúsítást szerezhetnek, de az ISO/IEC 27002 szabvány szerint nem. Az ISO/IEC 27001 az információbiztonsági irányítási rendszer létrehozására, bevezetésére, fenntartására és folyamatos fejlesztésére vonatkozó követelményeket dokumentálja, míg az ISO/IEC 27002-t úgy tervezték, hogy a szervezetek referenciaként használhassák a kontrollok kiválasztásához, és iránymutatást ad az információbiztonsági irányítási gyakorlatokra, beleértve a kontrollok végrehajtását és irányítását, figyelembe véve a szervezet információbiztonsági kockázati környezetét. A szervezetek olyan szabványok alapján tanúsíthatók, amelyek követelményeket fogalmaznak meg, útmutatást nyújtó szabványok alapján nem.


Az ISO/IEC 27001:2022 főbb változásai a következők:

  • Az A. melléklet hivatkozik az ISO/IEC 27002:2022 szabványban szereplő kontrollokra, amely tartalmazza az adott kontroll címét és a kontrollt magát;
  • A 6.1.3 c) pont megjegyzését szerkesztésileg átdolgozták, beleértve a "kontroll célok" törlését és az "információbiztonsági kontroll" helyettesítését „kontroll”-ra;
  • A 6.1.3 d) pont szövegezése az egyértelműség és a félreérthetőség kiküszöbölése érdekében átdolgozásra került.

Kontrollokat érintő változások:

Az ISO/IEC 27002:2013 114 kontrollt tartalmaz 14 területen; az ISO/IEC 27002:2022 93 kontrollt tartalmaz majd 4 területen:

  • 5. fejezet - Szervezeti (ha nem tartozik más terület alá) – 37 kontroll
  • 6. fejezet - Emberek (ha egyes emberekre vonatkozik) – 8 kontroll
  • 7. fejezet - Fizikai (ha fizikai tárgyakra vonatkozik) – 14 kontroll
  • 8. fejezet - Technológiai (ha technológiára vonatkozik) – 34 kontroll.

Minden egyes kontrolhoz 5 ellenőrzési attribútum tartozik:

  • Hogyan kell kategorizálni – megelőző, felderítő, javító
  • Információbiztonsági tulajdonságok – bizalmasság, integritás, rendelkezésre állás
  • Kiberbiztonsági fogalmak – azonosítás, védelem, észlelés, reagálás, helyreállítás
  • Működési képességek – irányítás, eszközkezelés, információvédelem, emberi erőforrás biztonság, fizikai biztonság, rendszer- és hálózatbiztonság, alkalmazásbiztonság, biztonságos konfiguráció, személyazonosság- és hozzáférés-kezelés, fenyegetések és sebezhetőségek kezelése, folyamatosság, beszállítói kapcsolatok biztonsága, jogi és megfelelés, információbiztonsági eseménykezelés, információbiztonság biztosítása
  • Biztonsági területek – irányítás és ökoszisztéma, védelem, ellenálló képesség.

Az ISO/IEC 27002 új változata 12 új ellenőrzési elemet vezetett be:

  • A fenyegetések felderítése
  • Személyazonosság-kezelés
  • Információbiztonság a felhőszolgáltatások használatához
  • Info-kommunikációs felkészültség az üzletmenet folytonosságához
  • Fizikai biztonság felügyelete
  • Felhasználói végponti eszközök
  • Konfigurációkezelés
  • Információk törlése
  • Adatmaszkolás
  • Adatszivárgás megelőzése
  • Webszűrés
  • Biztonságos kódolás

16 kontrollt töröltek, mivel azok megkettőződtek, vagy jobban illeszkednek más kontrollok alá:

  • Az információbiztonságra vonatkozó politikák felülvizsgálata
  • Mobileszköz-szabályzat
  • Eszközök tulajdonjoga
  • Eszközök kezelése
  • Jelszókezelési rendszer
  • Kézbesítési és rakodási területek
  • Eszközök eltávolítása
  • Felügyelet nélküli felhasználói berendezések
  • A naplóadatok védelme
  • A szoftverek telepítésének korlátozása
  • Elektronikus üzenetküldés
  • Az alkalmazásszolgáltatások védelme nyilvános hálózatokon
  • Az alkalmazásszolgáltatások tranzakcióinak védelme
  • Rendszerátvételi tesztek Információbiztonsági hiányosságok jelentése
  • Technikai megfelelőség felülvizsgálata.

Van néhány kontroll, amelyeket módosítottak és integráltak, hogy egyetlen fő vezérlőelemmé váljanak. Néhány példa:

  • A "Vagyon leltár" "Információk és egyéb kapcsolódó eszközök leltár" névre módosul.
  • "Az eszközök elfogadható használata" "Az információk és egyéb kapcsolódó eszközök elfogadható használata" -ra módosult.
  • A kriptográfiai ellenőrzésekre és kulcskezelésre stb. vonatkozó irányelv „A kriptográfiai ellenőrzések használata" címre változott.
  • Az eseménynaplózás átnevezése "Naplózás"-ra.
  • A rendszergazdai és üzemeltetői naplózás "Monitoring tevékenységek" címre változott.
  • Az információátadási irányelvek és eljárások, az információátadásról szóló megállapodás stb. az "Információátadás" alatt egy fő ellenőrzésként egyesítve.

 

További információkért kérem, keresse fel irodánkat a felsorolt elérhetőségek valamelyikén.

Keresés

Gyors információ

Cégünk rendszertanúsításokkal és képzésekkel kapcsolatos szolgáltatásairól felmerülő kérdése esetén kérem hívja munkatársunkat információs vonalunkon, ahol részletes szakmai válaszokat kaphat a kérdéseire.
icon telefon3

Információs telefonszámunk:
+36-23-444-275

Figyelem!

Szabványváltoztatások az éghajlatváltozás miatt.

További információk IDE KATTINTVA olvashatóak.