Promene koje donosi nova verzija standarda ISO 27001 | Project Management Srbija

Promene koje donosi nova verzija standarda ISO 27001

Promene koje donosi nova verzija standarda ISO 27001
Upravljanje kvalitetom

Promene koje donosi nova verzija standarda ISO 27001

upravljanje projektima
21.02.2023
No Comments

Promene koje donosi nova verzija standarda ISO 27001

Poslovni procesi sa dodatom vrednošću vođeni su informacijama i podacima. Informaciona bezbednost seže daleko u stvarnost našeg rada i života. Zaštita svakodnevnih operacija zasnovanih na informacijama, kritičnih podataka i intelektualne svojine od sajber pretnji je stoga imperativ za preduzeća svih veličina. U ovom dobu industrijalizovanih sajber napada, prilagođavanje na sve promenljive rizike bezbednosti informacija zahteva blagovremen i fleksibilan pristup izgradnji otpornosti preduzeća.

Nova verzija standarda ISO 27001

I upravo tu dolazi nova ažurirana verzija, standard ISO/IEC 27001:2022 sa fokusom na procesnu orijentaciju u upravljanju bezbednosti informacija.

Uprkos svojoj starosti, prema ISO Anketi, standard ISO 27001 je uspeo da raste sa povećanjem sertifikata od 32% u 2021. godini.  U pozadini rastuće potražnje za savremenim okvirom za procenu bezbednosti informacija, novi standard ISO/IEC 27001:2022 objavljen je 25. oktobra 2022. godine.

Glavne promene u reviziji ISO/IEC 27001:2022 su sledeće:

  • Glavni deo standarda ISO 27001, tj. klauzule 4 do 10, je malo promenjen
  • Promene bezbednosnih kontrola u Aneksu A su umerene
  • Broj kontrola je smanjen sa 114 na 93
  • Kontrole su smeštene u 4 sekcije, umesto prethodnih 14
  • Postoji 11 novih kontrola, dok nijedna kontrola nije obrisana, a mnoge kontrole su spojene

Pregled novih karakteristika standarda ISO/IEC 27001:2022

ISO 27001 opisuje okvir za sistem upravljanja bezbednošću informacija (skraćeno ISMS) – i to za kompanije bez obzira na organizacionu strukturu, veličinu ili orijentaciju. Ključna tačka je upravljanje rizikom. Promenljive sajber pretnje konstantno iskorišćavaju nove potencijalne ranjivosti u kompanijama sa ciljem da napadaju i kompromituju tokove informacija, a time i poslovne procese. Rizici koji proizilaze iz ovog mehanizma za tri osnovna cilja zaštite informacione bezbednosti – poverljivost, integritet i dostupnost – moraju biti identifikovani i mora se upravljati njima.

Ažuriranje ISO/IEC 27001:2022 se bavi najboljim praksama za upravljanje ovim rizicima za bezbednost informacija. Lista mogućih kontrola bezbednosti informacija u normativnom Aneksu A novog ISO/IEC 27001:2022 identično je izvedena iz revidiranih smernica ISO/IEC 27002:2022.

Šta je drugačije u novoj verziji standarda ISO 27001?

ISO 27001 ima novi naziv

Prva primetna promena standarda je njegov naziv: ISO/IEC 27001:2022 – „Informaciona bezbednost, sajber bezbednost i zaštita privatnosti – Sistemi za upravljanje bezbednošću informacija“.  

Proširenje naziva tako da uključuje „sajber bezbednost i zaštitu podataka“ bolje odražava svrhu standarda, proširivši njegov obim da bi uključio više tehničkih aspekata sajber bezbednosti i zaštite podataka.

Aneks A: 11 novih kontrola

Najveća promena u standardu ISO 27001 predstavlja uvođenje 11 novih kontrola u Aneks A. Aneks A definiše kontrole koje se mogu koristiti za minimiziranje rizika bezbednosti informacija koji su identifikovani tokom procesa procene rizika. Nove kontrole odražavaju promene u tehnologiji, evoluciju sajber pretnji i bave se  rizicima dok prethodna verzija nije.

11 novih kontrola

  • Obaveštajni podaci o pretnji

Organizacije će morati da aktivno rade na identifikaciji pretnji. Ovo će biti povezano sa cenama rizika, kontekstom i identifikovanjem pretnji i prilika.

  • Bezbednost informacija za korišćenje usluga u oblaku

Rast u oblaku je značajan od 2013. godine i ovaj dodatak je veoma blagovremen.

  • ICT spremnost za kontinuitet poslovanja

Kako je ovo slično prethodnim kontrolama kontinuiteta poslovanja, sada je jak naglasak stavljen na ICT.

  • Nadgledanje fizičke bezbednosti

Sada je potrebno kontinuirano nadgledanje fizičke bezbednosti.

  • Upravljanje konfiguracijom

Konfiguracijom sada treba upravljati i snimati.

  • Brisanje informacija

U vezi sa novim propisima i zakonima kao što su GDPR i DPA 2018, brisanje informacija zahteva jaču kontrolu

  • Maskiranje podataka

GDPR i DPA 2018 su doveli do upotrebe pseudonimizacije i anonimizacije.

  • Sprečavanje curenja podataka

Konačna GDPR/DPA 2018 povezana kontrola jačenja kontrole.

  • Praćenje aktivnosti

Jačanje zahteva za praćenje u standardu.

  • Web filtriranje

Sa razvojem veba, potreba za kontrolom zlonamernih ili neprijateljskih sajtova postala je važnija.

  • Sigurno kodiranje

Kako je povezano sa prethodnim kontrolama razvoja, ovo je pojačano, posebno pristup za čitanje i pisanje i biblioteke itd.

Treba znati da nisu sve kontrole obavezne. Sertifikaciona tela će dozvoliti kompanijama da isključe kontrolu ako nisu identifikovali nikakve povezane rizike ili ne postoje pravni ili regulatorni zahtevi za sprovođenje određene kontrole.

Sigurno kodiranje

Restrukturiranje kontrola

Broj kontrola je smanjen sa 114 na 93. One su sada podeljene u četiri tematske kategorije, umesto prethodnih 14.

To su:

  • Lične kontrole (8 kontrola)
  • Organizacione kontrole (37 kontrola)
  • Tehničke kontrole (34 kontrole)
  • Fizičke kontrole (14 kontrola)

Razlog za smanjenje broja kategorija je da se pojednostavi implementacija vašeg Sistema upravljanja bezbednošću informacija (ISMS) i da se unese jasnoća u proces. Na primer, preduzeća će imati različite ljude koji su odgovorni za primenu različitih skupova kontrola. Smanjenje broja kontrola i uvođenje četiri grupe kojima pripadaju, olakšaće timu za implementaciju da razume ko je unutar organizacije odgovoran za svaki skup kontrola. Iako u početku može izgledati kao manja administrativna promena, ona može imati stvarne uticaje na način na koji se standard primenjuje.


Izmene klauzula

U širem smislu, ISO 27001:2022 je isti standard kao i ranije, sa istim ciljevima. Međutim, došlo je do nekih manjih uređivačkih izmena u klauzulama od 4 do 10, sa revizijama osmišljenim da ponude veću jasnoću preduzećima. To znači da morate da pregledate i primenu novih kontrola u Aneksu A, kao i klauzule, da biste bili sigurni da ste sve rešili. Neke posebne oblasti koje treba pogledati uključuju:

Klauzula 4.2 – Razumevanje potreba i očekivanja zainteresovanih strana

Dodavanje tačke (c) u kojoj se navodi „koji od ovih zahteva će biti adresiran kroz sistem upravljanja bezbednošću informacija“, što znači da će biti potrebno više jasnoće u pogledu zahteva zainteresovanih strana.

Klauzula 4.4 „Sistem upravljanja bezbednošću informacija“

Uvedena je dodatna formulacija koja zahteva uključivanje „procesa potrebnih (za održavanje i unapređenje ISMS-a) i njihove interakcije, u skladu sa zahtevima ovog dokumenta“. Ovaj dodatak omogućava usklađivanje sa drugim ISO standardima kao što su ISO 9001:2015 – Sistem upravljanja kvalitetom i ISO 22301:2019 – Sistem upravljanja kontinuitetom poslovanja.

Klauzula 5.3 – Organizacione uloge, odgovornosti i ovlašćenja

Sada izmenjeno i glasi „Najviše rukovodstvo će obezbediti da se odgovornosti i ovlašćenja za uloge relevantne za bezbednost informacija dodeljuju i saopštavaju unutar organizacije“, dodajući jasnoću u pogledu toga kome te uloge treba saopštiti.

Klauzula 6.1.3 – Tretman rizika bezbednosti informacija

Ažuriranje u napomeni 2 sada glasi „Aneks A sadrži listu mogućih kontrola bezbednosti informacija.“ umesto originalne „sveobuhvatne liste kontrolnih ciljeva i kontrola“. Ovo naglašava činjenicu da postoje i druge kontrole koje se mogu smatrati delom vašeg ISMS-a.

Klauzula 6.2 – Ciljevi informacione bezbednosti i planiranje za njihovo postizanje

Dodatak tačke (d) koja zahteva da se ciljevi nadgledaju tokom životnog ciklusa sertifikacije. Ranije nije bio definisan zahtev u standardu ISO 27001:2013, ali sada obezbeđuje da se prati napredak u odnosu na ciljeve ili nedostatak.

Klauzula 6.3 – Planiranje promena

Potpuno nova klauzula, ali koja pokriva već postojeće zahteve kontrole promena, ova klauzula se zove „Planiranje promena“. Obezbeđuje da kada organizacija treba da izvrši promene u sistemu upravljanja bezbednošću informacija, ove promene moraju biti sprovedene na planski način.

Klauzula 7.4 – Komunikacija

Učinjen je dodatni amandman koji je doveo do uklanjanja tačke (e), zahteva za uspostavljanje procesa za komunikaciju, ukazujući da način na koji se komunikacija vrši ima mali uticaj na način na koji se ona prima.

Klauzula 8.1 – Operativno planiranje i kontrola

Sada glasi „Organizacija će osigurati da se procesi, proizvodi ili usluge koji su relevantni za ISMS kontrolišu eksterno. Formulacija ove kontrole sada pruža više jasnoće za implementaciju ISMS-a u poređenju sa originalnim „Organizacija će obezbediti da se procesi koji su angažovani na spoljnim poslovima određuju i kontrolišu“. Dodatno, obrisan je zahtev za sprovođenje planova za postizanje ciljeva, jer je to obuhvaćeno tačkom 6.2.

Klauzula 9.1 – „Monitoring, analiza merenja i evaluacija“

Dodavanje napomene iz postojećeg standarda „Odabrani metodi treba da daju uporedive i ponovljive rezultate da bi se smatrali validnim“ glavnom delu teksta pruža preko potrebnu jasnoću u pogledu toga šta se može smatrati „važećim“ rezultatom u očima standard.

Klauzula 9.3 – Pregled menadžmenta

Restrukturiranje klauzule je značilo da sada postoje tri podklauzule.

Dodavanje tačke (c) u 9.3.2 Ulazni podaci za pregled menadžmenta koji sada uključuju „promene i potrebe i očekivanja zainteresovanih strana koje su relevantne za sistem upravljanja bezbednošću informacija“.

Klauzula 10 „Poboljšanje“

Redosled ove klauzule je obrnut tako da je 10.1 sada Kontinuirano poboljšanje, a 10.2 je sada Neusaglašenost i korektivne mere.

Prednosti nove verzije standarda ISO 27001

Glavne prednosti nove verzije mogu se sažeti kao:

  • Omogućava efikasnije upravljanje rizikom pošto su bezbednosne kontrole u ​​Aneksu A poboljšane da odražavaju trenutne scenarije sa kojima se kompanije moraju pozabaviti.
  • Pomaže kompanijama da ponovo procene svoje rizike i pretnje i primene bezbednosne kontrole koje odgovaraju kontekstu sa stalno rastućom međupovezanošću, tehnologijom oblaka i automatizacije, malverom i ransomverom i drugim ranjivostima.
  • Proširuje se na sajber bezbednost i privatnost, bolje povezuje sistem upravljanja bezbednošću informacija sa ovim kritičnim pitanjima sa kojima se kompanije moraju baviti.
  • Pruža bolju strukturu i prezentaciju kontrola u Aneksu A, i sa jasnijim i jednostavnijim jezikom.

Prednosti ISO/IEC 27001 sistema upravljanja i sertifikacije se nisu mnogo promenile; međutim, nova verzija omogućava kompanijama da bolje razumeju, upravljaju i ublaže nove rizike i pretnje u svom poslovnom kontekstu.

Leave a Reply

Your email address will not be published. Required fields are marked *