Какво ново в ISO/IEC 27001:2022?

За първи път започнах да пиша за системите за управление сигурността на информацията(СУСИ) през 2012г. Още в момента, в който научих за тяхното съществуване, знаех че това е моето нещо. Но тогава интересът към тях не беше така голям както за останалите системи(ISO 9001, ISO 14001), а и те самите не бяха общодостъпни. През годините не спирах да се интересувам от СУСИ и от свързаните с  тях стандарти и ето, че след близо 10 години, на 25.10.2022г. беше публикуванo ново издание на ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements. За тези от вас, които познават предишното издание на стандарта е видно, че промените не са драстични, но въпреки това е необходимо да се проучат внимателно. Ето, защо в тази статия ще направя преглед на промените, за да видим какви са разликите с предишното издание от 2013г.

Малко история

Първата версия на ISO/IEC 27001 e публикувана през 1999 г. под името BS 7799-2 и оттогава претърпява няколко промени. Този стандарт е основен, който съдържа изискванията към системите за управление на сигурността на информацията(СУСИ) и спрямо който може да се извършва сертификация.

ISO/IEC 27002 е поддържащ стандарт, който предоставя насоки за прилагането на механизмите за контрол. Той е публикуван за първи път през 1995 г. под името BS 7799-1, а през февруари 2022г. беше публикувано изданието ISO/IEC 27002:2022 с новата структура от 93 контроли, точно каквато е и в новото издание на ISO/IEC 27001:2022.

Основни промени в ISO/IEC 27001:2022

 

 

  • в раздели от 4 до 10 има съвсем леки промени;
  • съществените промени са в Приложение А;
  • контролите са представени в 4 секции вместо досегашните 14;
  • броят на контролите от 114 е намалял на 93;
  • въведени са 11 нови контроли;
  • не са премахнати контроли, но има такива които са обединени и такива, които са преименувани.

 

 

 

Като цяло, в сравнение с изданието от 2013 г., промените в ISO/IEC 27001:2022 са малки до умерени. Основната част от стандарта остава с 10 раздела, като промените в тази част са съвсем малки. На пръв поглед в Приложение A промените са много – броят на контролите е намалял от 114 на 93 и е организиран само в четири раздела спрямо 14-те раздела в ревизията от 2013 г. След по-внимателно разглеждане обаче става ясно, че промените в Приложение А са само умерени.

Промени в системата за управление

Текстът на задължителните клаузи от 4 до 10 е променен съвсем малко, главно за привеждане в съответствие с ISO 9001, ISO 14001 и други стандарти за системи за управление, както и с Annex SL.

Кратък преглед на промените в ISO 27001:2022

  • т.4.2 Разбиране на нуждите и очакванията на заинтересованите страни – добавена е точка (c), изискваща анализ на това кои от изискванията на заинтересованите страни се отнасят към СУСИ;
  • т.4.4 Система за управление на сигурността на информацията) – добавена е фраза, изискваща планиране на процеси и техните взаимодействия като част от СУСИ;
  • т.5.3 Организационни роли, отговорности и пълномощия – добавена е фраза, за да се изясни, че комуникацията на ролите се извършва вътре в организацията;
  • т.6.2 Цели на сигурността на информацията и планиране за постигането им – добавена е точка (d), която изисква целите да бъдат наблюдавани;
  • добавена е т.6.3 (Planning of changes), която изисква всяка промяна в СУСИ да се извършва по планиран начин;
  • т.7.4 Обмен на информация – премахната е точка (e);
  • т.8.1 Планиране на работата и контрол –  добавени са нови изисквания за установяване на критерии за процеси и за изпълнение на процеси в съответствие с тези критерии. В същата клауза е премахнато изискването за изпълнение на планове за постигане на целите;
  • т.9.3 Преглед от ръководството – добавена е нова точка 9.3.2 c) за промените в нуждите и очакванията на заинтересованите страни, които се отнасят до СУСИ;
  • В раздел 10 Подобряване точките са разменени, така че първата е Постоянно подобряване (10.1), а втората е Несъответствие и коригиращо действие (10.2), като текстът на тези точки не е променен.

Промени в Приложение А

В действителност промените в приложение А са умерени, тъй като повечето от контролите са останали същите (35 от тях) или са само преименувани (23). Други 57 контроли са обединени, което намалява броя на контролите, но изискванията в тези контроли остават почти същите. Накрая една контрола е разделена на две отделни, като изискванията остават същите.

Въведени са 11 нови контроли, които са вследствие на тенденциите в ИТ и сигурността:

  • A.5.7 Threat intelligence
  • A.5.23 Information security for use of cloud services
  • A.5.30 ICT readiness for business continuity
  • A.7.4 Physical security monitoring
  • A.8.9 Configuration management
  • A.8.10 Information deletion
  • A.8.11 Data masking
  • A.8.12 Data leakage prevention
  • A.8.16 Monitoring activities
  • A.8.23 Web filtering
  • A.8.28 Secure coding

За тези контроли ще пиша по-подробно в отделна статия.

Преходен период

Съгласно документа „Изисквания за преход към ISO/IEC 27001:2022“ от Международния форум за акредитация, за организации, които вече са сертифицирани по ISO/IEC 27001:2013, преходът към ISO/IEC 27001:2022 трябва да приключи до 31 октомври 2025г.

Органите за сертификация на системи за управление трябва да започнат да сертифицират по ISO/IEC 27001:2022 най-късно до 31 октомври 2023 г., но да се надяваме, че повечето от тях ще започнат по-рано.

0 отговори на "Какво ново в ISO/IEC 27001:2022?"

Публикувай коментар

Вашият имейл адрес няма да бъде публикуван.

© Качеството ЕООД. Всички права запазени

Изработка на уеб сайт от Vipe Studio