Z tego artykułu dowiesz się: ukryj
1 Czym jest norma ISO/IEC 27002?
2 Nowa edycja normy: ISO/IEC 27002:2022
3 Główne zmiany w ISO/IEC 27002:2022
4 Nowa struktura i atrybuty
5 Nowe mechanizmy kontrolne w ISO 27002:2022
6 Wpływ na System Zarządzania Bezpieczeństwem Informacji (SZBI)
7 Jak przygotować organizację na zmiany?
8 Korzyści z wdrożenia ISO/IEC 27002:2022
9 Dodatkowe zasoby i wsparcie

Norma ISO/IEC 27002:2022 stanowi aktualizację wytycznych dotyczących bezpieczeństwa informacji. Wprowadza nowe podejście do zarządzania ryzykiem. Zrozumienie zmian pomaga organizacjom chronić cenne aktywa.

Czym jest norma ISO/IEC 27002?

Norma ISO/IEC 27002 to zestaw szczegółowych wytycznych. Dotyczy kontroli bezpieczeństwa informacji. Stanowi dopełnienie standardu ISO/IEC 27001. Ten ostatni jest najbardziej znanym standardem zarządzania bezpieczeństwem informacji. ISO 27002 pomaga organizacjom w praktycznym stosowaniu SZBI. SZBI to System Zarządzania Bezpieczeństwem Informacji. Skuteczny SZBI chroni kluczowe aktywa firmy.

„Skuteczny System Zarządzania Bezpieczeństwem Informacji (SZBI) pozwala chronić takie aktywa, jak know-how, dane klientów, treści umów z kontrahentami.”

Norma wskazuje trzy główne źródła wymagań bezpieczeństwa. Są nimi ocena ryzyka, wymagania prawne oraz zobowiązania umowne. Stosowanie normy zwiększa poziom bezpieczeństwa.

Standard należy do rodziny norm ISO/IEC 27000. Tworzy ramy efektywnego zarządzania danymi. Normy ISO/IEC 27000 są fundamentem SZBI. Wspierają firmy i instytucje w ochronie danych. Pomagają też w zgodności z przepisami prawa.

Jakie jest powiązanie ISO 27002 z ISO 27001?

Norma ISO 27002 stanowi zbiór wytycznych. Zawiera konkretne kontrole bezpieczeństwa. Pomaga w implementacji wymagań normy ISO 27001. ISO 27001 określa wymagania dla SZBI.

Nowa edycja normy: ISO/IEC 27002:2022

Nowa wersja normy ISO/IEC 27002:2022 ukazała się 15 lutego 2022 roku. Międzynarodowa Organizacja Normalizacyjna (ISO) ją opublikowała. W Polsce norma została wdrożona jako PN-EN ISO/IEC 27002:2023-01. Polski Komitet Normalizacyjny opublikował ją 23 stycznia 2023 roku. Norma nosi zmieniony tytuł. Obejmuje bezpieczeństwo informacji, cyberbezpieczeństwo i ochronę prywatności. Aktualizuje wersję z 2013 roku. Poprzednia norma obowiązywała ponad 9 lat.

Zobacz też:  System zarządzania jakością ISO 9001 – wymagania, zasady, wdrożenie i korzyści

Nowa odsłona normy wprowadza znaczące zmiany. Dotyczą one tytułu i struktury dokumentu. Wersja ISO 27002:2022 przyniosła istotną reorganizację standardu. Norma jest wdrożeniem wersji międzynarodowej i europejskiej z 2022 roku. Publikacja znowelizowanej wersji wycofała polskie tłumaczenie z 2017 roku.

Główne zmiany w ISO/IEC 27002:2022

Najbardziej zauważalną zmianą jest liczba zabezpieczeń. Zmniejszyła się ona ze 114 do 93. Ta redukcja wynika ze scalenia wielu kontroli. Aż 57 mechanizmów kontrolnych zostało połączonych. Wprowadzono również 11 zupełnie nowych kontroli. Zmiany te odzwierciedlają rozwój technologii i zagrożeń.

Nowa norma aktualizuje zestaw wytycznych. Odpowiada na współczesne wyzwania. Organizacje muszą dostosować swoje systemy. Okres przejściowy trwa 3 lata. Kończy się 31 października 2025 roku. Do tego czasu systemy muszą być zgodne z nową wersją.

ISO27002 CONTROLS COMPARISON

Porównanie liczby mechanizmów kontrolnych w normach ISO 27002:2013 i 2022.

Nowa struktura i atrybuty

Wersja 2022 wprowadza nowy podział zabezpieczeń. Zamiast 14 dziedzin, mamy 4 główne klauzule. Są to zabezpieczenia organizacyjne, osobowe, fizyczne i technologiczne. Ta struktura ma ułatwić zarządzanie. Grupuje kontrole w bardziej logiczny sposób.

Nowa norma wprowadza także atrybuty. Każdy mechanizm kontrolny ma przypisane atrybuty. Pozwalają one na lepsze filtrowanie i kategoryzację kontroli. Atrybuty obejmują typ kontroli, właściwości bezpieczeństwa, koncepcje cyberbezpieczeństwa, zdolności operacyjne i domeny bezpieczeństwa. Umożliwiają elastyczne podejście do wyboru zabezpieczeń.

Podział 93 kontroli wygląda następująco:

  • Organizacyjne: 37 kontroli
  • Osobowe: 8 kontroli
  • Fizyczne: 14 kontroli
  • Technologiczne: 34 kontrole

Ten nowy podział ułatwia przegląd i wdrażanie zabezpieczeń. Organizacje mogą łatwiej identyfikować luki w konkretnych obszarach.

ISO27002 2022 STRUCTURE

Podział 93 mechanizmów kontrolnych w ISO 27002:2022 na 4 dziedziny.

Nowe mechanizmy kontrolne w ISO 27002:2022

Wśród 93 kontroli znalazło się 11 nowych. Odpowiadają one na zmieniający się krajobraz zagrożeń. Nowe kontrole dotyczą między innymi inteligencji zagrożeń. Obejmują też bezpieczeństwo informacji w zakresie korzystania z usług w chmurze. Inne nowe obszary to monitoring bezpieczeństwa fizycznego i systemy zapobiegania wyciekom informacji. Nowe kontrole uwzględniają również technologie chmurowe i mobilne.

Nowe mechanizmy to na przykład:

  • Inteligencja zagrożeń (Threat Intelligence)
  • Bezpieczeństwo informacji w zakresie korzystania z usług w chmurze
  • Gotowość ICT do ciągłości działania biznesu
  • Monitorowanie bezpieczeństwa fizycznego
  • Systemy zapobiegania wyciekom informacji

Te kontrole pomagają organizacjom lepiej chronić się przed cyberatakami. Wzmacniają odporność operacyjną. Wdrażanie tych mechanizmów jest kluczowe.

„Zabezpieczenia to środki, które modyfikują lub utrzymują ryzyko.”

Wprowadzenie nowych kontroli podkreśla znaczenie proaktywnego podejścia. Organizacje muszą być przygotowane na nowe typy zagrożeń. Dotyczy to zwłaszcza obszaru cyberbezpieczeństwa.

Wpływ na System Zarządzania Bezpieczeństwem Informacji (SZBI)

Zaktualizowana norma ISO/IEC 27002:2022 ma bezpośredni wpływ na SZBI. Wymaga od organizacji dostosowania procesów. Jest kluczowa przy odnowieniu lub ponownej certyfikacji ISO 27001. Norma ISO 27001:2022 również przeszła aktualizację. W Polsce obowiązuje PN-EN ISO/IEC 27001:2023-08 od sierpnia 2023 roku. Okres przejściowy dla poprzedniej wersji (PN-EN ISO/IEC 27001:2017-06) trwa do 31 października 2025 roku.

Organizacja powinna zdefiniować, wdrożyć i monitorować kontrole. Należy je też regularnie przeglądać i ulepszać. Kontrole te są wskazane w normie ISO/IEC 27001. ISO 27002 dostarcza szczegółowych wskazówek, jak to zrobić. Właściwe wdrożenie standardu minimalizuje ryzyko naruszeń danych. Ogranicza też związane z nimi straty finansowe i wizerunkowe.

Czy muszę aktualizować certyfikat ISO 27001?

Jeśli posiadasz certyfikat ISO 27001:2013, musisz dostosować swój SZBI do wersji 2022. Należy to zrobić do 31 października 2025 roku. Kolejne audyty certyfikacyjne będą oceniać zgodność z nową normą.

Jak przygotować organizację na zmiany?

Proces dostosowania do nowej normy wymaga kilku kroków. Zacznij od analizy luk. Porównaj obecne mechanizmy kontrolne z nowymi wymaganiami. Oszacuj ryzyko uwzględniając zaktualizowane zabezpieczenia. Zaktualizuj Deklarację Stosowania (SoA – Statement of Applicability). To kluczowy dokument w SZBI.

Zaktualizuj program audytów wewnętrznych. Upewnij się, że obejmuje nowe kontrole. Wskaźniki bezpieczeństwa również powinny być aktualizowane. Odzwierciedlą nowy zakres zabezpieczeń. Przyjęcie proaktywnego podejścia przynosi wymierne korzyści. Profesjonalne wsparcie może znacząco usprawnić transformację.

Zalecenia dla organizacji:

  • Przeanalizuj luki w obecnych mechanizmach kontrolnych.
  • Oszacuj ryzyko uwzględniając uaktualnione zabezpieczenia.
  • Zaktualizuj Deklarację Stosowania.
  • Zaktualizuj program audytów wewnętrznych.
  • Upewnij się, że wskaźniki bezpieczeństwa są aktualizowane.
  • Zdefiniuj, wdroż, monitoruj, przeglądaj i ulepszaj kontrole.

Dostosowanie SZBI do ISO 27002:2022 jest niezbędne. Zapewnia zgodność z najlepszymi praktykami. Pomaga też spełnić wymagania prawne. Dotyczy to RODO, NIS2 czy DORA.

Korzyści z wdrożenia ISO/IEC 27002:2022

Wdrożenie zaktualizowanej normy przynosi wiele korzyści. Organizacja lepiej chroni dane przed współczesnymi zagrożeniami. Minimalizuje ryzyko cyberataków i wycieków danych. Zwiększa odporność operacyjną. Zgodność z normą podnosi wiarygodność firmy. Potwierdza zaangażowanie w bezpieczeństwo informacji.

Korzystanie z ISO/IEC 27002:2022 pomaga:

  • Zidentyfikować odpowiednie i proporcjonalne środki kontroli.
  • Spełnić wymagania prawne, ustawowe i regulacyjne.
  • Zwiększyć liczbę zabezpieczeń w firmie.
  • Poprawić ogólny poziom bezpieczeństwa informacji.

Normy wspierają zgodność z RODO, Ustawą o ochronie danych osobowych. Pomagają też w przestrzeganiu Rozporządzenia o Krajowych Ramach Interoperacyjności. Wspierają unijne regulacje jak NIS2. DORA reguluje odporność operacyjną w finansach.

„Certyfikat ISO/IEC 27001 potwierdza zaangażowanie w organizację bezpieczeństwa informacji, zwiększając wiarygodność.”

Wzrost znaczenia norm ISO/IEC w kontekście cyberbezpieczeństwa jest widoczny. Zwiększa się też zainteresowanie bezpieczeństwem danych osobowych. Wdrożenie normy odpowiada na te trendy.

Dodatkowe zasoby i wsparcie

Organizacje mogą skorzystać z wiedzy ekspertów. BSI Polska oferuje zasoby dotyczące normy ISO/IEC 27002:2022. Dostępne są e-booki z praktycznymi informacjami. BSI organizuje też webinary dotyczące SZBI. Bezstronność jest fundamentalną zasadą świadczenia usług przez BSI.

Firmy takie jak LexDigital czy Audytel S.A. oferują wsparcie. Świadczą usługi oceny i certyfikacji. Przeprowadzają audyty i szkolenia. Można skorzystać z profesjonalnego wsparcia w procesie aktualizacji. Znacząco usprawnia to transformację.

Gdzie mogę znaleźć normę ISO/IEC 27002:2022?

Normę w języku polskim (PN-EN ISO/IEC 27002:2023-01) można nabyć w Polskim Komitecie Normalizacyjnym. Dostępne są również zasoby u organizacji certyfikujących i konsultingowych, takich jak BSI Polska.

Zobacz także:

Jagoda to ekspertka w dziedzinie systemów zarządzania jakością ISO, której wiedza i doświadczenie pomaga firmom wdrażać standardy ISO i uzyskiwać certyfikaty. Na swoim blogu dzieli się praktycznymi poradami i analizami związanymi z systemami ISO.

Podobne wpisy

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *