• info@project-management-srbija.com
  • 063 104 27 15
Prijavi se

Šta je novo u standardu ISO 27001:2022

ŠTA JE NOVO U STANDARDU ISO 27001?

U oktobru 2022. godine, standard ISO 27001 je ažuriran kako bi odražavao okruženje tehnologije i bezbednosti informacija koje se stalno menja. Promene su uglavnom bile estetske i obuhvataju promene i usavršavanje postojećih zahteva. Najveća promena je Aneks A čiji su specifične kontrole izvedene iz ISO 27002:2022. U ovom vodiču možete pogledati šta se promenilo i šta to znači za vas,koje benefite možete izvući iz ovih promena.Ovde možete pogledati više o uvodjenju ISO standarda

Ranije je sadržao 114 kontrola podeljenih u 14 kategorija, koje su pokrivale širok spektar tema kao što su kontrola pristupa, kriptografija, upravljanje incidentima i fizička bezbednost.

Nakon objavljivanja standarda ISO 27002:2022 (kontrole bezbednosti informacija, sajber bezbednosti i zaštite privatnosti)  u februara 2022., ISO 27001:2022 je uskladio svoje kontrole iz Aneksa A.

ISO 27001:2022

Nova verzija standarda se oslanja na sažeti skup od 93 kontrole iz Aneksa A, koje sadrže u sebi i 11 dodatnih kontrola koje prate prethodne.

Ukupno 24 kontrole su spojene sa dve, tri ili više bezbednosnih kontrola iz verzije iz 2013. godine, a 58 kontrola iz standarda ISO 27002:2013 je izmenjeno da bi se uskladilo sa trenutnim okruženjem za sajber bezbednost i bezbednost informacija.

ŠTA JE IZJAVA O PRIMENLJIVOSTI?

Pre nego što započnemo, moramo pomenuti Izjavu o primenljivosti (SoA) jer ona ocrtava stav  organizacije da primeni određene kontrole iz Aneksa A. Izjava o primenljivosti (SoA) u ISO 27001 2022 je dokument koji navodi kontrole iz Aneksa A koje  organizacija mora primeniti da bi ispunila zahteve standarda. To je obavezan koraku standardizaciji, koji mora ispoštovati svako  ko planira da dobije ISO 27001 sertifikat. Vaš SoA treba da sadrži četiri glavna elementa:

  • Spisak svih kontrola koje su neophodne da bi se zadovoljile opcije tretmana rizika za bezbednost informacija, uključujući one koje su sadržane u Aneksu A.
  • Izjava koja objašnjava zašto su sve gore navedene kontrole uključene.
  • Potvrda implementacije.
  • Opravdanje organizacije za izostavljanje bilo koje od kontrola iz Aneksa A.

Objašnjene su nove kontrolne kategorije ISO 27001:2022

Kontrole iz Aneksa A standarda ISO 27001:2013 su prethodno bile podeljene u 14 kategorija. ISO 27001 2022 usvaja sličan kategorički pristup informacionoj bezbednosti koji distribuira procese između četiri kategorije najvišeg hijerarhijskog nivoa.

Kontrole u ​​Aneksu ISO 27001:2022 su prilagođene vremenu u kojem smo, tako da odražavaju trenutne bezbednosne izazove. Osnovni procesi upravljanja ISMS-om ostaju nepromenjeni, ali je kontrolni set Aneksa A ažuriran da iskazuje modernije rizike i njihove povezane kontrole.

Kontrole Aneksa su sada grupisane u četiri kategorije:

  • Organizacione
  • Ljudske
  • Fizičke
  • Tehnološke

Svaka kontrola ima dodatno dodeljenu taksonomiju atribucije.

Ovo vam omogućava da brzo uskladite vaš izbor kontrole sa uobičajenim industrijskim jezikom i međunarodnim standardima. Korišćenje atributa predstavlja podršku poslu koji mnoge kompanije već rade u okviru svoje procene rizika i Izjave o primenljivosti (SoA).

Na primer, mogu se razlikovati koncepti sajber bezbednosti koji su slični NIST i CIS kontrolama, a mogu se prepoznati i operativne sposobnosti koje se odnose na druge standarde.

Organizacijske kontrole

Broj kontrola: 37

Kontrolni brojevi: ISO 27001 Aneks A 5.1 do 5.37

Organizacione kontrole obuhvataju propise i mere koje diktiraju sveobuhvatan stav organizacije i pristup prema zaštiti podataka u širokom spektru pitanja. Ove kontrole uključuju politike, pravila, procese, procedure, organizacione strukture i sve ono što je neophodno da bi se dobili rezultati kontinuiranog monitoringa u organizaciji.

Kontrole ljudi

Broj kontrola: 8

Kontrolni brojevi: ISO 27001 Aneks A 6.1 do 6.8

Kontrole ljudi omogućavaju preduzećima da vrše monitoring nad ljudima koji učestvuju u programu bezbednosti informacija, definisanjem načina na koji oni mogu komunicirati sa podacima i međusobno. Ove kontrole pokrivaju bezbedno upravljanje ljudskim resursima, bezbednost osoblja i svest i obuku.

Fizičke kontrole

Broj kontrola: 14

Kontrolni brojevi: ISO 27001 Aneks A 7.1 do 7.13

Fizičke zaštite su mere koje se primenjuju da bi se obezbedila sigurnost materijalne imovine i svega što se smatra imovinom organizacije. To može uključivati sisteme za ulazak, protokole za pristup gostima, procese odlaganja sredstava, protokole medijuma za skladištenje i jasne politike za radnu površinu. Takve mere zaštite su od suštinskog značaja i predstavljaju bitan faktor za očuvanje poverljivih informacija.

Tehnološke kontrole

Broj kontrola: 34

Kontrolni brojevi: ISO 27001 Aneks A 8.1 do 8.34

Tehnološka ograničenja diktiraju kibernetičke/digitalne propise i postupke koje bi organizacije trebalo da usvoje kako bi izvršile zaštićenu, usaglašenu IT infrastrukturu, od tehnika autentičnosti do podešavanja i evidentiranja informacija.

Zašto je Aneks A bitan za moju organizaciju?

Standard ISO 27001 je formulisan na takav način da omogućava organizacijama svih oblika i veličina da zadovolje zahteve standarda koje postavlja savremeno poslovanje, dok se pridržavaju osnovne ideje implementacije i održavanja sveobuhvatne prakse bezbednosti informacija.

Organizacije imaju različite opcije za postizanje i očuvanje usaglašenosti sa ISO 27001, u zavisnosti od prirode njihovog poslovanja i koji je obim njihovih pojedinačnih aktivnosti obrade podataka.

Aneks A pruža organizacijama jednostavan skup smernica na osnovu kojih mogu da naprave dobro struktuiran plan bezbednosti informacija koji će odgovarati njihovim isključivim komercijalnim i operativnim potrebama.

Aneks A služi kao sredstvo za uštedu vremena i resursa za početnu sertifikaciju i naknadne procese koji slede, i pruža osnovu za revizije, preglede procesa i strateško planiranje. Može se koristiti kao interni dokument upravljanja (tj. plan tretmana rizika) koji postavlja formalni pristup bezbednosti informacija.

Razumevanje tretmana rizika u ISO 27001 6.1.3

Zahtev ISO 27001 6.1.3 odnosi se na uspostavljanje i održavanje procesa procene rizika bezbednosti informacija koji uključuje kriterijume prihvatanja i procene rizika.Što predstavlja bitan korak ka uspešnoj implementaciji standarda koja vas može dovesti do sertifikacije.

ISO 27001 6.1.3 služi kao način da organizacije  garantuju da su njihove procedure rizika za bezbednost informacija, uključujući njihove alternative upravljanja rizikom, u skladu sa standardima koje preporučuje ISO i u saglasnosti sa njima, u potrazi za sertifikacijom.

Tretman rizika kao koncept

Sertifikovane i usaglašene organizacije se bave rizikom na više načina. Upravljanje rizikom nije ograničeno na savetodavne akcije neophodne za smanjenje rizika. Nakon identifikovanja rizika, od organizacija se očekuje da:

  • Prihvate rizik.
  • Tretiraju rizik.
  • Ublaže rizik.
  • Prenesu rizik.
  • Izbegavaju rizik.

ISO 27001 6.1.3 traži od organizacija da formulišu plan tretmana rizika, uključujući potpisivanje i indentifikaciju vlasnika rizika i široko prihvatanje onoga što ISO smatra „realnim rizicima“.

Ovaj proces počinje identifikacijom rizika koji su povezani sa gubitkom poverljivosti, integriteta i dostupnosti informacija. Organizacija zatim mora da izabere odgovarajuće opcije tretmana rizika koje su primenljive za bezbednost informacija, a na osnovu rezultata procene rizika,kao i svih dotadašnjih zaključaka donetih na osnovu kontinuiranog monitoring.

Ostali faktori

Kao vodeći zahtev, ISO 27001 6.1.3 nije krajnji autoritet za upravljanje rizikom. Velike organizacije često integrišu bezbednosne protokole od drugih postojećih entiteta za akreditaciju (NIST, SOC2’s Trust Service Criteria).

Organizacije moraju, da daju prioritet kontrolama iz Aneksa A tokom procesa sertifikacije i usklađenosti – ISO revizori su usmereni da identifikuju autentičnost i istovetnost ISO propisa i kao takvi, ovo bi trebalo da bude prvi izbor za koji će se organizacije odlučiti prilikom kreiranja ISO 27001- usklađen sistem upravljanja bezbednošću informacija.

Određeni standardi podataka u javnom i privatnom sektoru trećih strana – kao što je komplet alata za bezbednost i zaštitu podataka Nacionalne zdravstvene službe (DSPT) – zahtevaju usklađivanje standarda bezbednosti informacija između organizacija i javnih subjekata sa kojima su u međusobnoj vezi.

ISO 27001 6.1.3 dozvoljava organizacijama da koordiniraju svoje operacije tretmana rizika sa brojnim eksternim kriterijumima, omogućavajući da se sve vreme pridržavaju svih mera bezbednosti podataka sa kojima će se verovatno suočiti.

Koje kontrole iz Aneksa A treba da uključim?

Od suštinske je važnosti da svaki pojedinac proceni rizike koji mogu postajati i uticati na bezbednost informacija u vašem preduzeću.Sve one koje potencijalno mogu da se pojave,pre nego što odlučite koje kontrole da postavite i izaberete,a koje će pomoći u suzbijanju identifikovanih rizika.

Pored tretmana rizika, kontrole se takođe mogu izabrati zbog korporativne ili poslovne namere ili cilja, zakonskog zahteva ili u ispunjavanju ugovornih i/ili regulatornih obaveza.

Štaviše, organizacije su obavezne da ilustruju i objasne zašto nisu integrisale određene kontrole u ​​svoju SOA – npr: Nema potrebe da se inkorporiraju kontrole koje se bave daljinskim ili hibridnim radom ako to nije sfera koja se tiče vase organizacije.Medjutim, svakako treba imati na umu da će revizor i dalje zahtevati na uvid ove podatke  kada procenjuje vaše zadatke sertifikacije/usaglašenosti.

Kako će ISO/IEC 27001 koristiti mojoj organizaciji?

Implementacija standarda ISO/IEC 27001 pomaže vam da:

  • Smanjite svoju ranjivost na rastuću pretnju sajber-napada
  • Odgovorite na rastuće bezbednosne rizike
  • Obezbedite da imovina kao što su finansijski izveštaji, intelektualna svojina, podaci o zaposlenima i informacije koje su poverile treće strane ostanu neoštećene, poverljive i dostupne po potrebi
  • Obezbedite centralnu jedinicu  koja obezbeđuje sve informacije na jednom mestu
  • Pripremite ljude, procese i tehnologiju širom vaše organizacije da se suoče sa rizicima i svim pretnjama zasnovanim na tehnologiji
  • Sigurne informacije u svim oblicima, uključujući podatke na papiru, u oblaku i digitalne podatke
  • Uštedite novac povećanjem efikasnosti i smanjenjem troškova za neefikasnu odbrambenu tehnologiju

Tri benefita uvodjenja standarda ISO 27001

Uvođenje standarda ISO 27001 donosi brojne koristi organizacijama. Tri ključna benefita ovog standarda su:

  • Povećanje sigurnosti informacija: ISO 27001 pomaže organizacijama da prepoznaju, upravljaju i smanje rizike vezane za sigurnost informacija. Implementacija ovog standarda omogućava zaštitu poverljivih podataka, čime se smanjuje verovatnoća od cyber napada, curenja podataka i drugih sigurnosnih incidenata.
  • Povećanje poverenja i reputacije: Posjedovanje ISO 27001 sertifikata može značajno poboljšati reputaciju organizacije. Kupci I partneri imaju veće poverenje u organizaciju koja iskazuje ozbiljan pristup sigurnosti informacija, što može biti konkurentska prednost na tržištu. Sertifikat pokazuje da je organizacija posvećena zaštiti podataka i poštovanju visokih sigurnosnih standarda vezanih za sigurnost podataka.
  • Usklađenost sa zakonodavstvom i regulativama: ISO 27001 pomaže organizacijama (General Data Protection Regulation) u EU, HIPAA (Health Insurance Portability and Accountability Act) u SAD-u, ili lokalni zakoni o zaštiti podataka. Standard omogućava organizacijama da razviju politike i prakse koje su u skladu s važećim zakonodavstvom i smanjuje rizik od pravnih sankcija ili kazni zbog neindentifikovanja sigurnosnih problema.

Kroz implementaciju standarda ISO 27001, organizacije mogu efikasno zaštititi svoje podatke, povećati poverenje klijenata i osigurati usklađenost sa zakonodavstvom, čime postižu viši standard u svom radu.