За първи път започнах да пиша за системите за управление сигурността на информацията(СУСИ) през 2012г. Още в момента, в който научих за тяхното съществуване, знаех че това е моето нещо. Но тогава интересът към тях не беше така голям както за останалите системи(ISO 9001, ISO 14001), а и те самите не бяха общодостъпни. През годините не спирах да се интересувам от СУСИ и от свързаните с тях стандарти и ето, че след близо 10 години, на 25.10.2022г. беше публикуванo ново издание на ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements. За тези от вас, които познават предишното издание на стандарта е видно, че промените не са драстични, но въпреки това е необходимо да се проучат внимателно. Ето, защо в тази статия ще направя преглед на промените, за да видим какви са разликите с предишното издание от 2013г.
Малко история
Първата версия на ISO/IEC 27001 e публикувана през 1999 г. под името BS 7799-2 и оттогава претърпява няколко промени. Този стандарт е основен, който съдържа изискванията към системите за управление на сигурността на информацията(СУСИ) и спрямо който може да се извършва сертификация.
ISO/IEC 27002 е поддържащ стандарт, който предоставя насоки за прилагането на механизмите за контрол. Той е публикуван за първи път през 1995 г. под името BS 7799-1, а през февруари 2022г. беше публикувано изданието ISO/IEC 27002:2022 с новата структура от 93 контроли, точно каквато е и в новото издание на ISO/IEC 27001:2022.
Основни промени в ISO/IEC 27001:2022
- в раздели от 4 до 10 има съвсем леки промени;
- съществените промени са в Приложение А;
- контролите са представени в 4 секции вместо досегашните 14;
- броят на контролите от 114 е намалял на 93;
- въведени са 11 нови контроли;
- не са премахнати контроли, но има такива които са обединени и такива, които са преименувани.
Като цяло, в сравнение с изданието от 2013 г., промените в ISO/IEC 27001:2022 са малки до умерени. Основната част от стандарта остава с 10 раздела, като промените в тази част са съвсем малки. На пръв поглед в Приложение A промените са много – броят на контролите е намалял от 114 на 93 и е организиран само в четири раздела спрямо 14-те раздела в ревизията от 2013 г. След по-внимателно разглеждане обаче става ясно, че промените в Приложение А са само умерени.
Промени в системата за управление
Текстът на задължителните клаузи от 4 до 10 е променен съвсем малко, главно за привеждане в съответствие с ISO 9001, ISO 14001 и други стандарти за системи за управление, както и с Annex SL.
Кратък преглед на промените в ISO 27001:2022
- т.4.2 Разбиране на нуждите и очакванията на заинтересованите страни – добавена е точка (c), изискваща анализ на това кои от изискванията на заинтересованите страни се отнасят към СУСИ;
- т.4.4 Система за управление на сигурността на информацията) – добавена е фраза, изискваща планиране на процеси и техните взаимодействия като част от СУСИ;
- т.5.3 Организационни роли, отговорности и пълномощия – добавена е фраза, за да се изясни, че комуникацията на ролите се извършва вътре в организацията;
- т.6.2 Цели на сигурността на информацията и планиране за постигането им – добавена е точка (d), която изисква целите да бъдат наблюдавани;
- добавена е т.6.3 (Planning of changes), която изисква всяка промяна в СУСИ да се извършва по планиран начин;
- т.7.4 Обмен на информация – премахната е точка (e);
- т.8.1 Планиране на работата и контрол – добавени са нови изисквания за установяване на критерии за процеси и за изпълнение на процеси в съответствие с тези критерии. В същата клауза е премахнато изискването за изпълнение на планове за постигане на целите;
- т.9.3 Преглед от ръководството – добавена е нова точка 9.3.2 c) за промените в нуждите и очакванията на заинтересованите страни, които се отнасят до СУСИ;
- В раздел 10 Подобряване точките са разменени, така че първата е Постоянно подобряване (10.1), а втората е Несъответствие и коригиращо действие (10.2), като текстът на тези точки не е променен.
Промени в Приложение А
В действителност промените в приложение А са умерени, тъй като повечето от контролите са останали същите (35 от тях) или са само преименувани (23). Други 57 контроли са обединени, което намалява броя на контролите, но изискванията в тези контроли остават почти същите. Накрая една контрола е разделена на две отделни, като изискванията остават същите.
Въведени са 11 нови контроли, които са вследствие на тенденциите в ИТ и сигурността:
- A.5.7 Threat intelligence
- A.5.23 Information security for use of cloud services
- A.5.30 ICT readiness for business continuity
- A.7.4 Physical security monitoring
- A.8.9 Configuration management
- A.8.10 Information deletion
- A.8.11 Data masking
- A.8.12 Data leakage prevention
- A.8.16 Monitoring activities
- A.8.23 Web filtering
- A.8.28 Secure coding
За тези контроли ще пиша по-подробно в отделна статия.
Преходен период
Съгласно документа „Изисквания за преход към ISO/IEC 27001:2022“ от Международния форум за акредитация, за организации, които вече са сертифицирани по ISO/IEC 27001:2013, преходът към ISO/IEC 27001:2022 трябва да приключи до 31 октомври 2025г.
Органите за сертификация на системи за управление трябва да започнат да сертифицират по ISO/IEC 27001:2022 най-късно до 31 октомври 2023 г., но да се надяваме, че повечето от тях ще започнат по-рано.
0 отговори на "Какво ново в ISO/IEC 27001:2022?"