...

Nowa norma ISO/IEC 27001:2022

Picture of Dariusz Rycek

Dariusz Rycek

ISO/IEC 27001:2022 - wprowadzenie

Na naszym profilu firmowym LinkedIn 25.10.2022 w dniu publikacji nowej edycji normy ISO/IEC 27001:2022 pojawił się wpis o długo oczekiwanej zmianie związanej z tym standardem bezpieczeństwa informacji. Blisko 2 miesiące trwało finalne wodowanie normy poprzedzone w ramach działań IAF (Międzynarodowe Forum Akredytacyjne) wydaniem w sierpniu b.r. publikacji „IAF MD 26:2022 – Transition requirements for ISO/IEC 27001:2022”, którą można pobrać na stronie forum: iaf.nu, albo pod poniższym linkiem. Warto przeczytać ten dokument, szczególnie osobom, które odpowiedzialne są za nadzór nad systemem zarządzania objęty certyfikacją. Albowiem jak to zwykle bywa 3 lata po dacie publikacji nowej edycji normy kończy się tzw. okres przejściowy, podczas którego należy dokonać transferu certyfikowanych systemów pod nową normę odniesienia. 

Dlatego trzeba podjąć wewnętrznie projekt, w ramach którego będzie czas tak na wdrożenie nowych wymagań, jak również ich ocenę przez jednostkę certyfikacyjną. Ważnym jest aby dokonać to w ramach jakiegoś audytu okresowego aby ograniczyć koszty certyfikacyjne, chociażby związane z dodatkowym pobytem audytorów w firmie. Certyfikacja ISO 27001 dla nowych klientów będzie możliwa dopiero po audycie akredytacyjnym jednostki certyfikacyjnej, a to jak pokazuje praktyka powinno mieć miejsce w okresie przejściowym. W okresie przejściowym będzie obowiązywał dualizm 2 norm odniesienia dla ISO 27001 – starej i nowej. Warto tutaj powiedzieć, że komitet ISO/IEC JTC 1/SC 27 wydał 2 normy w tym samym czasie związane z rodziną „Information security, cybersecurity and privacy protection”, tzn.: 

  • ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements,
  • ISO/IEC 27005:2022 Information security, cybersecurity and privacy protection — Guidance on managing information security risks,

Proces zmian w normach bezpieczeństwa informacji zapoczątkowało w tym roku – w lutym  wydanie nowej wersji normy dotyczącej zabezpieczeń :

  • ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls.

To właśnie ta norma opracowana jako wytyczne stanowi tak naprawdę załącznik A.1. w normie ISO/IEC 27001. Jej wydaniem zmuszono komitet do przyśpieszenia prac nad rewizją normy zasadniczej, gdyż zmiany w otoczeniu biznesowym – zapoczątkowane przez normy NIST, CIS, zaczęły spychać systemy zarządzania bezpieczeństwem informacji oparte na ISO 27001 w niebyt. Aktualizacja normy odniesienia dopiero po 9 latach, gdy technologia tak mocno się zmienia nie świadczyła zbyt dobrze o twórcach standardu, tym bardziej gdy dokonywano w międzyczasie jego potwierdzenia.

O zmianach w dwóch pierwszych normach zacznie być wkrótce gorąco, bo już pojawiają się propozycje szkoleń, ale zachęcam do ewolucyjnego podejścia, bo „to co nagle to po diable”. Miejmy nadzieję, że nasz narodowy wydawca znajdzie w swoim budżecie pieniądze na polską edycję wspomnianych norm – ASAP. Certyfikacja ISO 27001 nie ucieknie, bo każda strona ma w tym interes. A póki co spróbujmy wtopić się w lekturę nowych wydań i podejmijmy wyzwanie dostosowania systemów do nowych wymagań.

Co nowego w edycji ISO 27001:2022?

O zmianie w grupie produktowej już wspomnieliśmy, bo zmienia się kontekst standardów, stąd zauważalny trend  w tym zakresie w wielu normach serii 27000. Natomiast najwięcej zmian można zauważyć w normatywnym załączniku A, który jest spójny z  nowym wydaniem normy ISO/IEC 27002:2022. Ta prawidłowość jest założona przez normodawców, dlatego wszyscy oczekiwali głównych zmian właśnie w nim.

Najważniejsze zmiany, jakie można zaobserwować w nowej wersji standardu ISO/IEC 27001 to aktualizacja listy zabezpieczeń – obecnie zamiast 114 mamy 93 zabezpieczeń, w tym dodano 11 nowych zabezpieczeń, takich jak:

  • analiza zagrożeń,
  • bezpieczeństwo informacji przy korzystaniu z usług w chmurze (wreszcie coś poza ISO/IEC 27017),
  • gotowość teleinformatyczna do zapewnienia ciągłości działania,
  • monitorowanie bezpieczeństwa fizycznego,
  • zarządzanie konfiguracją,
  • usuwanie informacji,
  • maskowanie danych,
  • zapobieganie wyciekom danych,
  • działania monitorujące,
  • filtrowanie sieci,
  • bezpieczne kodowanie,

Co jeszcze: połączono 24 dotychczasowe zabezpieczenia i poprawiono 58 zabezpieczeń. Przebudowane zabezpieczenia podzielono na 4 grupy:

  • zabezpieczeń organizacyjne – 37 elementów sterujących: (np. polityki informacyjne, zwrot aktywów, bezpieczeństwo informacji przy korzystaniu z usług w chmurze),
  • zabezpieczenia osobowe – 8 elementów sterujących: (np. praca zdalna, kontrola, zachowanie poufności lub umowy o zachowaniu poufności),
  • zabezpieczenia fizyczne – 14 elementów sterujących: (np. nośniki pamięci, konserwacja sprzętu, monitorowanie bezpieczeństwa fizycznego lub zabezpieczenie biur, pomieszczeń i obiektów)
  • zabezpieczenia technologiczne – 44 elementów sterujących: (np. bezpieczne uwierzytelnianie, usuwanie informacji, zapobieganie wyciekom danych lub rozwój zlecony na zewnątrz).

Przy analizie nowych wymagań należy pozostawać w stałej relacji do normy ISO/IEC 27002 aby zrozumieć sens nowego podejścia w załączniku A normy zasadniczej.  Organizacja może bowiem używać atrybutów do tworzenia różnych widoków elementów sterujących. W normie ISO/IEC 27002 właśnie w załączniku informacyjnym A wyjaśnia się, jak można to osiągnąć  podając stosowne przykłady. Należą do nich: 

  • Rodzaje działań – zapobiegawcze, wykryte, korygujące,
  • Właściwości bezpieczeństwa informacji – poufność, integralność i dostępność, (szkoda, że nie poszli w kierunku wsparcia zgodności z dyrektywą NIS),
  • Koncepcje cyberbezpieczeństwa – identyfikuj, chroń, wykrywaj, reaguj, odzyskuj,
  • Możliwości operacyjne – zarządzanie, zarządzanie aktywami, ochrona informacji, bezpieczeństwo zasobów ludzkich, bezpieczeństwo fizyczne, bezpieczeństwo systemu i sieci, bezpieczeństwo aplikacji, bezpieczna konfiguracja, zarządzanie tożsamością i dostępem, zarządzanie zagrożeniami i podatnością, ciągłość, bezpieczeństwo relacji z dostawcami, prawo i zgodność, informacje zarządzanie zdarzeniami bezpieczeństwa, zapewnienie bezpieczeństwa informacji,
  • Domeny bezpieczeństwa – zarządzanie i ekosystem, ochrona, obrona, odporność.

Tabela A.1 – Macierz kontroli i wartości atrybutów w normie ISO/IEC 27002 zawiera macierz wszystkich elementów sterujących w tym dokumencie wraz z przypisanymi im wartościami atrybutów. Filtrowanie lub sortowanie macierzy można osiągnąć za pomocą narzędzia, takiego jak prosty arkusz kalkulacyjny lub baza danych, która może zawierać więcej informacji, takich jak tekst kontrolny, wytyczne, wytyczne specyficzne dla danej organizacji lub atrybuty, jak pokazano w tabeli A.2 – Widok zabezpieczeń naprawczych. Trochę jakby zaczerpnięte z innych standardów, ale najważniejsze, że wpisuje się w trendy i oczekiwania rynkowe.

ISO 27001 certyfikacja certyfikat ISO 27001

Zmiany w pozostałych dokumentach związanych - ISO/IEC 27005:2022, etc.

Może trochę bardziej ogólnych informacji w niniejszym akapicie, gdyż 4 edycja normy ISO/IEC 27005 zasługuje na to aby poświęcić jej odrębny wpis, a póki co trochę informacji z wprowadzenia do normy. Główne zmiany można przedstawić w następujący sposób: 

  • cały tekst wytycznych został dostosowany do norm ISO/IEC 27001:2022 i ISO 31000:2018;
  • terminologia została dostosowana do terminologii zawartej w ISO 31000:2018;
  • struktura punktów została dostosowana do układu normy ISO/IEC 27001:2022;
  • wprowadzono koncepcje scenariuszy ryzyka;
  • podejście oparte na zdarzeniach kontrastuje z podejściem opartym na aktywach do identyfikacji ryzyka;
  • treść załączników została zmieniona i przekształcona w jeden załącznik.

Nowa edycja ISO/IEC 27005 zawiera wskazówki dotyczące:

  • wdrożenia wymagań dotyczących ryzyka bezpieczeństwa informacji określonych w ISO/IEC 27001;
  • podstawowych odniesień w ramach norm opracowanych przez ISO/IEC JTC 1/SC 27 w celu wsparcia działań związanych z zarządzaniem ryzykiem związanym z bezpieczeństwem informacji;
  • działań odnoszących się do ryzyka związanego z bezpieczeństwem informacji (patrz ISO/IEC 27001:2022, 6.1 i Rozdział 8);
  • wdrożenia wytycznych zarządzania ryzykiem w ISO 31000 w kontekście bezpieczeństwa informacji.

Norma zawiera szczegółowe wytyczne dotyczące zarządzania ryzykiem i uzupełnia wytyczne zawarte w ISO/IEC 27003:2017 Information technology — Security techniques — Information security management systems — Guidance, chyba jednej z bardziej zapomnianych norm posiłkowych.
Ponadto w odniesieniu do przeznaczenia, norma jest adresowana do: 

  • organizacji, które zamierzają ustanowić i wdrożyć system zarządzania bezpieczeństwem informacji (ISMS) zgodnie z ISO/IEC 27001;
  • osób, które wykonują lub są zaangażowane w zarządzanie ryzykiem w zakresie bezpieczeństwa informacji (np. specjaliści ds. ISMS, właściciele ryzyka i inne zainteresowane strony);
  • organizacji, które zamierzają usprawnić swój proces zarządzania ryzykiem związanym z bezpieczeństwem informacji.

Zachęcam do śledzenia naszego profilu na LinkedIn, oraz odwiedzania niniejszej strony firmowej gdyż staramy się na niej zamieszczać najnowsze informacje dotyczące standardów ISO zarówno tych, które stanowią podstawę do certyfikacji, jak również te, które niosą w sobie interpretację, są wytycznymi, w tym również do bezpieczeństwa informacji.

ISO 27001:2022 certyfikacja certyfikat

Nasze podejście do transferu systemu zarządzania pod nowe ISO/IEC 27001:2022

Prawdopodobnie do końca bieżącego roku, albo najpóźniej w pierwszym kwartale 2023 roku powinna zostać opublikowana norma „ISO/IEC DIS 27006-1 Requirements for bodies providing audit and certification of information security management systems — Part 1: General”, która odnosi się do nowych wymagań dla jednostek certyfikujących systemy zarządzania bezpieczeństwem informacji wg ISO/IEC 27001. Certyfikacja może jednak odbywać się także wg dotychczasowej normy serii ISO/IEC 27006.

Zwykle jak to bywało z transferami z innymi normami – ISO 9001:2008 -> ISO 9001:2015, ISO 14001:2004 -> ISO 14001:2015, ISO 50001:2011 -> ISO 50001:2018, ISO 22301:2012 -> ISO 22301:2019, OHSAS 18001:2007 ->ISO 45001:2018, zapewne także i w tym standardzie będziemy starali się namawiać klientów do realizowania ich w ramach audytów okresowych aby ograniczać dodatkowe koszty tylko do czynności transferowych. Spotkało się to we wspomnianych procesach transferowych z bardzo pozytywnym przyjęciem naszych klientów, i jak tylko poznamy nowe regulacje w tym zakresie powinny pojawić się stosowne propozycje. A póki co jak wspomniałem na początku wpisu zachęcamy na tym etapie do analizy zmian i podjęcia projektu wdrożeniowego, a czas na transfer pozostawić na odpowiedni termin. W razie jakichkolwiek potrzeb służymy pomocą. 

Zapraszamy do współpracy
Zespół Centre of Excellence & QSCert-Poland

Scroll to Top