EMT ZRT. weboldala - Az új ISO/IEC 27001 és ISO/IEC 27002 tervezett változásai

Az új ISO/IEC 27001 és ISO/IEC 27002 tervezett változásai

Az ISO/IEC 27001 és az ISO/IEC 27002 egyaránt felülvizsgálat alatt áll. Az ISO/IEC 27002 a tervek szerint 2022 januárban jelenik meg, az ISO/IEC 27001 pedig nem sokkal később követi. A Nemzetközi Szabványügyi Szervezet (ISO)/Nemzetközi Elektrotechnikai Bizottság (IEC) közös műszaki bizottsága, az ISO/IEC JTC 1 közel 20 év után megváltoztatja az ISO/IEC 27001/27002 ellenőrzési keretrendszer szerkezetét.

Mi a különbség az ISO/IEC 27001 és az ISO/IEC 27002 között?
A szervezetek az ISO/IEC 27001 szabvány szerint tanúsítást szerezhetnek, de az ISO/IEC 27002 szabvány szerint nem. Az ISO/IEC 27001 az információbiztonsági irányítási rendszer létrehozására, bevezetésére, fenntartására és folyamatos fejlesztésére vonatkozó követelményeket dokumentálja, míg az ISO/IEC 27002-t úgy tervezték, hogy a szervezetek referenciaként használhassák a kontrollok kiválasztásához, és iránymutatást ad az információbiztonsági irányítási gyakorlatokra, beleértve a kontrollok végrehajtását és irányítását, figyelembe véve a szervezet információbiztonsági kockázati környezetét. A szervezetek olyan szabványok alapján tanúsíthatók, amelyek követelményeket fogalmaznak meg, útmutatást nyújtó szabványok alapján nem.

Az ISO/IEC 27001:2022 főbb változásai a következők:

Az A. melléklet hivatkozik az ISO/IEC 27002:2022 szabványban szereplő kontrollokra, amely tartalmazza az adott kontroll címét és a kontrollt magát;
A 6.1.3 c) pont megjegyzését szerkesztésileg átdolgozták, beleértve a "kontroll célok" törlését és az "információbiztonsági kontroll" helyettesítését „kontroll”-ra;
A 6.1.3 d) pont szövegezése az egyértelműség és a félreérthetőség kiküszöbölése érdekében átdolgozásra került.

Kontrollokat érintő változások:

Az ISO/IEC 27002:2013 114 kontrollt tartalmaz 14 területen; az ISO/IEC 27002:2022 93 kontrollt tartalmaz majd 4 területen:

5. fejezet - Szervezeti (ha nem tartozik más terület alá) – 37 kontroll
6. fejezet - Emberek (ha egyes emberekre vonatkozik) – 8 kontroll
7. fejezet - Fizikai (ha fizikai tárgyakra vonatkozik) – 14 kontroll
8. fejezet - Technológiai (ha technológiára vonatkozik) – 34 kontroll.

Minden egyes kontrolhoz 5 ellenőrzési attribútum tartozik:

Hogyan kell kategorizálni – megelőző, felderítő, javító
Információbiztonsági tulajdonságok – bizalmasság, integritás, rendelkezésre állás
Kiberbiztonsági fogalmak – azonosítás, védelem, észlelés, reagálás, helyreállítás
Működési képességek – irányítás, eszközkezelés, információvédelem, emberi erőforrás biztonság, fizikai biztonság, rendszer- és hálózatbiztonság, alkalmazásbiztonság, biztonságos konfiguráció, személyazonosság- és hozzáférés-kezelés, fenyegetések és sebezhetőségek kezelése, folyamatosság, beszállítói kapcsolatok biztonsága, jogi és megfelelés, információbiztonsági eseménykezelés, információbiztonság biztosítása
Biztonsági területek – irányítás és ökoszisztéma, védelem, ellenálló képesség.

Az ISO/IEC 27002 új változata 12 új ellenőrzési elemet vezetett be:

A fenyegetések felderítése
Személyazonosság-kezelés
Információbiztonság a felhőszolgáltatások használatához
Info-kommunikációs felkészültség az üzletmenet folytonosságához
Fizikai biztonság felügyelete
Felhasználói végponti eszközök
Konfigurációkezelés
Információk törlése
Adatmaszkolás
Adatszivárgás megelőzése
Webszűrés
Biztonságos kódolás

16 kontrollt töröltek, mivel azok megkettőződtek, vagy jobban illeszkednek más kontrollok alá:

Az információbiztonságra vonatkozó politikák felülvizsgálata
Mobileszköz-szabályzat
Eszközök tulajdonjoga
Eszközök kezelése
Jelszókezelési rendszer
Kézbesítési és rakodási területek
Eszközök eltávolítása
Felügyelet nélküli felhasználói berendezések
A naplóadatok védelme
A szoftverek telepítésének korlátozása
Elektronikus üzenetküldés
Az alkalmazásszolgáltatások védelme nyilvános hálózatokon
Az alkalmazásszolgáltatások tranzakcióinak védelme
Rendszerátvételi tesztek Információbiztonsági hiányosságok jelentése
Technikai megfelelőség felülvizsgálata.

Van néhány kontroll, amelyeket módosítottak és integráltak, hogy egyetlen fő vezérlőelemmé váljanak. Néhány példa:

A "Vagyon leltár" "Információk és egyéb kapcsolódó eszközök leltár" névre módosul.
"Az eszközök elfogadható használata" "Az információk és egyéb kapcsolódó eszközök elfogadható használata" -ra módosult.
A kriptográfiai ellenőrzésekre és kulcskezelésre stb. vonatkozó irányelv „A kriptográfiai ellenőrzések használata" címre változott.
Az eseménynaplózás átnevezése "Naplózás"-ra.
A rendszergazdai és üzemeltetői naplózás "Monitoring tevékenységek" címre változott.
Az információátadási irányelvek és eljárások, az információátadásról szóló megállapodás stb. az "Információátadás" alatt egy fő ellenőrzésként egyesítve.

További információkért kérem, keresse fel irodánkat a felsorolt elérhetőségek valamelyikén.