Co můžeme očekávat od nové revize ISO/IEC 27001 a ISO/IEC 27002?
V současnosti probíhá proces revize ISO/IEC 27001 a ISO/IEC 27002 (aktuální verze byla publikována v roce 2013). Organizace, které se zaměřují na systematický přístup k řízení informační bezpečnosti, už jistě zaregistrovali tuto novinku.
ISO/IEC 27002 je opět navržena tak, aby poskytovala rámec pro řízení bezpečnosti informací (podobně jako například: NIST CSF).
Hlavní změnou, kterou nová verze přináší je sloučení opatření do 4 skupin:
1. Organizační opatření
2. Personální opatření
3. Fyzická opatření
4. Technická opatření
Nových je i několik oblastí, pro které se bude vyžadovat řízení a opatření (v případě, že jsou v organizaci aplikovatelné), například:
Správa hrozeb (Opatření: Informace související s hrozbami informační bezpečnosti by měly být shromažďovány a měly by se analyzovat, aby se vytvořila správa hrozeb.)
Informační bezpečnost při používání cloudových služeb (Opatření: Procesy získávání, používání, správy a ukončení cloudových služeb by měly být vytvořeny v souladu s požadavky organizace na bezpečnost informací.)
Připravenost ICT na kontinuitu podnikání (Opatření: Připravenost ICT by měla být plánovaná, implementována, udržována a testována na základě cílů kontinuity podnikání a požadavků na kontinuitu ICT.)
Monitorování fyzické bezpečnosti (Opatření: Prostory by měly být nepřetržitě monitorovány, aby se předešlo neautorizovanému fyzického přístupu.)
Řízení konfigurace (Opatření: Konfigurace, včetně bezpečnostních konfigurací, hardwaru, softwaru, služeb a sítí, by měly být vytvořeny, zdokumentované, implementovány, monitorovány a přezkoumávány.)
Vymazání informace (Opatření: Informace uložené v informačních systémech a zařízeních by měly být vymazány, pokud již nejsou potřebné.)
Maskování dat (Opatření: Maskování údajů by mělo být používáno v souladu s politikou organizace zaměřenou na řízení přístupu a obchodními požadavky, se zohledněním legislativních požadavků.)
Prevence úniku dat (Opatření: Na systémy, sítě a koncová zařízení, které zpracovávají, uchovávají nebo přenášejí citlivé informace, by měly aplikovat opatření k předcházení úniku dat.)
Monitorovací činnosti (Opatření: V sítích, systémech a aplikacích by se mělo monitorovat neobvyklé chování a měla by být přijata vhodná opatření k vyhodnocení potenciálních incidentů bezpečnosti informací.)
Filtrování webu (Opatření: Přístup k externím webovým stránkám by měl být řízen, aby se snížilo vystavení škodlivému obsahu.)
Bezpečné kódování (Opatření: Na vývoj softwaru by se měly vztahovat zásady bezpečného kódování.)
Zveřejnění nových standardů se předpokládá v závěru roku 2021, nebo začátkem roku 2022.
Následně začne běžet přechodné období. Během tohoto období bude nutné, v případě že má vaše organizace certifikovaný systém informační bezpečnosti, implementovat nové požadavky.
Autor: Martin Kašša, auditor ISO/IEC 27001
(Použité zdroje: ISO/IEC DIS 27002 Information security, Cybersecurity and privacy protection - Information security controls)
Nejnovější články
Nařízení EU o odlesňování (EUDR): Co potřebujete vědět
06. august 2025
Udržitelnost v praxi: Příležitost i nový standard podnikání pro malé a střední firmy
18. júl 2025
Jak zvýšit povědomí zaměstnanců v automotivu o kvalitě?
16. júl 2025
Jak prakticky implementovat ISO 50001 v souladu s principy ESG?
10. júl 2025
SAQ = SUSTAINABILITY ASSESMENT QUESTIONNAIRE – II. část: Jak na to?
03. júl 2025Newsletter
Doporučená školení:
| Název školení | Délka školení | Volné termíny | Cena | |
|---|---|---|---|---|
| Interní auditor ISO/IEC 27001:2022 a NIS 2 - systém managementu informační bezpečnosti |
2 dny
|
22.09.2025
+ 4 dostupné termíny
|
9 900,00 CZK
11 979,00 CZK s DPH
|
Více o školení |
| Požadavky normy / Proškolení interních auditorů podle normy ISO/IEC 27001:2022 a NIS 2 |
1 den
|
22.09.2025
+ 4 dostupné termíny
|
7 500,00 CZK
9 075,00 CZK s DPH
|
Více o školení |
| Interní auditor ISO/IEC 42001:2023 a ISO 19011 - Systém řízení umělé inteligence |
2 dny
|
23.10.2025
+ 3 dostupné termíny
|
9 900,00 CZK
11 979,00 CZK s DPH
|
Více o školení |
| TISAX - Trusted Information Security Assessment Exchange |
2 dny
|
04.11.2025
+ 2 dostupné termíny
|
9 500,00 CZK
11 495,00 CZK s DPH
|
Více o školení |
| Kybernetická bezpečnost a požadavky normy ISO/IEC 27001 |
2 dny
|
Podle Vás
|
Na vyžádání | Více o školení |
| Cyber Resilience Act – Implementace CRA ve firmě bez paniky |
1 den
|
Podle Vás
|
Na vyžádání | Více o školení |
| AI governance: Udělejte z chaosu systém |
1 den
|
Podle Vás
|
Na vyžádání | Více o školení |
Mohlo by Vás zajímat:
- Externí manažer kybernetické bezpečnosti (outsourcing)
- TISAX - Informační bezpečnost dodavatelů v automotive
- Certifikace systému managementu informační bezpečnosti podle normy ISO / IEC 27001
Podobné články
Nařízení EU o odlesňování (EUDR): Co potřebujete vědět
Odlesňování a degradace lesů představují globální problém s dalekosáhlými důsledky na klima a biodiverzitu. Lesy jsou klíčové pro absorpci skleníkových plynů a jejich zdraví je nezbytné pro lidi i životní prostředí. Ve snaze omezit globální odlesňování přijala Evropská unie Nařízení Evropského parlamentu a Rady (EU) 2023/1115 o zpřístupnění určitých komodit a výrobků spojených s odlesňováním a degradací lesů na trhu Unie a o jejich vývozu z Unie, známé jako EUDR (European Union Deforestation Regulation). Toto nařízení, přijaté 31. května 2023, je prvním svého druhu na světě a klade nové, přísné požadavky na společnosti.
Udržitelnost v praxi: Příležitost i nový standard podnikání pro malé a střední firmy
V posledních měsících se řada malých a středních firem potýká s rostoucím tlakem na poskytování různých údajů: výpočty uhlíkové stopy, spotřeby vody, etická prohlášení, politiky BOZP, či informace o pracovních podmínkách. Možná se ptáte: Proč se tyto požadavky objevují právě teď – a proč i u menších podniků?
Jak zvýšit povědomí zaměstnanců v automotivu o kvalitě?
Víte jak je třeba pracovat s lidmi tak, aby byli „správně nastaveni“ a dávali si větší pozor na to, aby neudělali chybu, případně ji odhalili v případě, že ji vyprodukuje proces? To se dozvíte se v našem článku.