Normy z rodziny ISO/IEC 27000 stanowią globalny standard zarządzania bezpieczeństwem informacji. Pomagają organizacjom chronić cenne dane i spełniać wymogi prawne. Ostatnie aktualizacje, zwłaszcza ISO/IEC 27002:2022, wprowadzają ważne zmiany w podejściu do kontroli bezpieczeństwa.
Czym jest rodzina norm ISO/IEC 27000?
Rodzina norm ISO/IEC 27000 to zbiór międzynarodowych standardów. Opracowały je wspólnie ISO i IEC. Normy te dostarczają wytycznych dotyczących systemu zarządzania bezpieczeństwem informacji (ISMS). Koncentrują się na efektywnym zarządzaniu ryzykiem w obszarze bezpieczeństwa informacji. Rodzina liczy ponad 40 norm.
Kluczowe normy w rodzinie ISO/IEC 27000
Najważniejszą normą jest ISO/IEC 27001. Określa ona wymagania dla ISMS. Jest jedyną normą podlegającą certyfikacji. ISO/IEC 27002 stanowi jej dopełnienie. Dostarcza szczegółowych wytycznych do implementacji kontroli bezpieczeństwa. ISO/IEC 27003 pomaga w planowaniu i wdrażaniu ISMS. ISO/IEC 27005 skupia się na zarządzaniu ryzykiem bezpieczeństwa informacji.
Ewolucja normy ISO/IEC 27002
Norma ISO/IEC 27002 przeszła ważną aktualizację. Wersja z 2013 roku została zastąpiona. Nowe wydanie, ISO/IEC 27002:2022, opublikowano w lutym 2022 roku. Polska wersja, PN-EN ISO/IEC 27002:2023-01, ukazała się w styczniu 2023 roku. Aktualizacja odzwierciedla rozwój technologii. Uwzględnia obecne praktyki w cyberbezpieczeństwie i ochronie prywatności.
Jakie są główne zmiany w ISO/IEC 27002:2022 w porównaniu do wersji 2013?
Najważniejsza zmiana dotyczy liczby kontroli. Zmniejszyła się ze 114 do 93. Wprowadzono 11 nowych kontroli. 24 kontrole zostały połączone. 58 istniejących kontroli zaktualizowano. Zmieniono również strukturę normy. Zmniejszono liczbę punktów z 18 do 8. Kontrole pogrupowano w 4 dziedzinach.
Nowa struktura i mechanizmy kontrolne ISO/IEC 27002:2022
Nowa norma grupuje 93 zabezpieczenia w 4 klauzulach. Klauzula 5 dotyczy kontroli organizacyjnych (37 zabezpieczeń). Klauzula 6 obejmuje kontrole osobowe (8 zabezpieczeń). Klauzula 7 to kontrole fizyczne (14 zabezpieczeń). Klauzula 8 zawiera kontrole technologiczne (34 zabezpieczenia). Norma wprowadza także atrybuty. Pomagają one organizacjom w wyborze i wdrażaniu kontroli. Ułatwiają zarządzanie ryzykiem cyberbezpieczeństwa.
Oto podsumowanie zmian w kontrolach:
| Kryterium | ISO/IEC 27002:2013 | ISO/IEC 27002:2022 |
|---|---|---|
| Liczba kontroli | 114 | 93 |
| Nowe kontrole | 0 | 11 |
| Połączone kontrole | 0 | 24 |
| Zaktualizowane kontrole | 114 | 58 |
Wpływ aktualizacji ISO/IEC 27002 na ISO/IEC 27001
Aktualizacja normy ISO/IEC 27002:2022 pociągnęła za sobą zmiany. Wpłynęła na normę ISO/IEC 27001. Najnowsza wersja ISO/IEC 27001:2022 zawiera zaktualizowany Załącznik A. Ten załącznik odwołuje się do kontroli z ISO/IEC 27002:2022. Najbardziej aktualna polska wersja to PN-EN ISO/IEC 27001:2023-08. Obowiązuje od sierpnia 2023 roku. Organizacje certyfikowane na starszą wersję (PN-EN ISO/IEC 27001:2017-06) mają czas na dostosowanie. Okres przejściowy trwa do 31 października 2025 roku.
Korzyści z wdrożenia norm ISO/IEC 27000
Wdrażanie norm ISO/IEC 27000 przynosi wiele korzyści. Poprawia bezpieczeństwo informacji w organizacji. Pomaga minimalizować ryzyko cyberataków. Chroni przed wyciekami danych. Umożliwia zgodność z regulacjami prawnymi. Należą do nich RODO, DORA i Dyrektywa NIS2. Wdrożenie ISMS wspiera zgodność z Ustawą o ochronie danych osobowych. Pomaga także spełnić wymogi Rozporządzenia o Krajowych Ramach Interoperacyjności. Wdrożenie opiera się często na modelu PDCA (Planuj-Wykonuj-Sprawdzaj-Działaj).
- Popraw bezpieczeństwo informacji.
- Osiągnij najlepsze praktyki zarządzania.
- Spełnij wymagania prawne i umowne.
Jak przygotować się do wdrożenia i certyfikacji?
Przygotowanie do wdrożenia norm ISO/IEC 27000 wymaga kilku kroków. Organizacja powinna określić swoje wymagania bezpieczeństwa. Zaleca się przeprowadzenie analizy luk. Porównuje się obecne mechanizmy kontrolne z nowymi wymaganiami. Należy zaktualizować szacowanie ryzyka. Analiza ryzyka powinna być zgodna z ISO/IEC 27005. Ważne jest zmapowanie zabezpieczeń. Używa się do tego załącznika B między wersjami normy. Trzeba ustalić, które zabezpieczenia mają zastosowanie. Następnie należy zaktualizować System Zarządzania Bezpieczeństwem Informacji. Konieczna jest aktualizacja Deklaracji Stosowania. Warto przejrzeć i zaktualizować program audytów wewnętrznych. Należy sprawdzić narzędzia do wykazywania zgodności. Wdrażanie norm ISO 27002 i ISO 27003 pomaga w doborze kontroli.
Które normy z rodziny ISO/IEC 27000 można certyfikować?
Tylko norma ISO/IEC 27001 stanowi podstawę do certyfikacji ISMS. Certyfikacja systemów zarządzania odbywa się w Polsce. Przeprowadzają ją akredytowane jednostki. Należą do nich ISOQAR czy BSI. Certyfikat ISO/IEC 27001 jest ważny przez 3 lata.
Inne ważne normy powiązane z ISO/IEC 27001
Rodzina norm ISO/IEC 27000 obejmuje wiele standardów specjalistycznych. ISO/IEC 27017 dotyczy bezpieczeństwa usług w chmurze. ISO/IEC 27018 skupia się na ochronie prywatności w chmurze. ISO/IEC 27701 stanowi rozszerzenie ISMS o zarządzanie prywatnością. Pomaga w zgodności z RODO. Inne normy dotyczą specyficznych sektorów. ISO/IEC 27011 jest dla organizacji telekomunikacyjnych. ISO/IEC 27019 dotyczy sektora energii. ISO 27799 odnosi się do bezpieczeństwa informacji w sektorze zdrowia. Normy te wspierają organizacje. Pomagają dostosować ISMS do specyficznych potrzeb.
Podsumowanie
Normy ISO/IEC 27000 to klucz do skutecznego zarządzania bezpieczeństwem informacji. ISO/IEC 27001 określa wymagania dla ISMS. ISO/IEC 27002 dostarcza praktycznych wytycznych. Aktualizacja ISO/IEC 27002:2022 odświeżyła podejście. Wprowadziła nowe i zmienione kontrole. Wdrożenie tych norm pomaga chronić dane. Zapewnia zgodność z prawem. Buduje zaufanie klientów i partnerów. Organizacje w Polsce stosują normy od 2007 roku. Muszą dostosować się do najnowszych wersji. Okres przejściowy na PN-EN ISO/IEC 27001:2023-08 trwa do 31 października 2025 roku.
Zobacz także:
- Normy ISO 27000 – fundament bezpieczeństwa informacji
- ISO 27001 – Kompletny przewodnik po Systemie Zarządzania Bezpieczeństwem Informacji
- System Zarządzania Bezpieczeństwem Informacji (SZBI) – Klucz do ochrony danych
- ISO 28000 – System Zarządzania Bezpieczeństwem Łańcucha Dostaw
- Jak wdrożyć ISO 27001: Praktyczny przewodnik
