Pražákova 1008/69, 639 00 Brno
SK
CS

Co můžeme očekávat od nové revize ISO/IEC 27001 a ISO/IEC 27002?

KATEGORIE

revize ISO/IEC 27001 a ISO/IEC 27002

 

V současnosti probíhá proces revize ISO/IEC 27001 a ISO/IEC 27002 (aktuální verze byla publikována v roce 2013). Organizace, které se zaměřují na systematický přístup k řízení informační bezpečnosti, už jistě zaregistrovali tuto novinku.

 

ISO/IEC 27002 je opět navržena tak, aby poskytovala rámec pro řízení bezpečnosti informací (podobně jako například: NIST CSF).

 

Hlavní změnou, kterou nová verze přináší je sloučení opatření do 4 skupin:

1. Organizační opatření

2. Personální opatření

3. Fyzická opatření

4. Technická opatření

 

Nových je i několik oblastí, pro které se bude vyžadovat řízení a opatření (v případě, že jsou v organizaci aplikovatelné), například:

Správa hrozeb (Opatření: Informace související s hrozbami informační bezpečnosti by měly být shromažďovány a měly by se analyzovat, aby se vytvořila správa hrozeb.)

Informační bezpečnost při používání cloudových služeb (Opatření: Procesy získávání, používání, správy a ukončení cloudových služeb by měly být vytvořeny v souladu s požadavky organizace na bezpečnost informací.)

Připravenost ICT na kontinuitu podnikání (Opatření: Připravenost ICT by měla být plánovaná, implementována, udržována a testována na základě cílů kontinuity podnikání a požadavků na kontinuitu ICT.)

Monitorování fyzické bezpečnosti (Opatření: Prostory by měly být nepřetržitě monitorovány, aby se předešlo neautorizovanému fyzického přístupu.)

Řízení konfigurace (Opatření: Konfigurace, včetně bezpečnostních konfigurací, hardwaru, softwaru, služeb a sítí, by měly být vytvořeny, zdokumentované, implementovány, monitorovány a přezkoumávány.)

Vymazání informace (Opatření: Informace uložené v informačních systémech a zařízeních by měly být vymazány, pokud již nejsou potřebné.)

Maskování dat (Opatření: Maskování údajů by mělo být používáno v souladu s politikou organizace zaměřenou na řízení přístupu a obchodními požadavky, se zohledněním legislativních požadavků.)

Prevence úniku dat (Opatření: Na systémy, sítě a koncová zařízení, které zpracovávají, uchovávají nebo přenášejí citlivé informace, by měly aplikovat opatření k předcházení úniku dat.)

Monitorovací činnosti (Opatření: V sítích, systémech a aplikacích by se mělo monitorovat neobvyklé chování a měla by být přijata vhodná opatření k vyhodnocení potenciálních incidentů bezpečnosti informací.)

Filtrování webu (Opatření: Přístup k externím webovým stránkám by měl být řízen, aby se snížilo vystavení škodlivému obsahu.)

Bezpečné kódování (Opatření: Na vývoj softwaru by se měly vztahovat zásady bezpečného kódování.)

Zveřejnění nových standardů se předpokládá v závěru roku 2021, nebo začátkem roku 2022.

 

Následně začne běžet přechodné období. Během tohoto období bude nutné, v případě že má vaše organizace certifikovaný systém informační bezpečnosti, implementovat nové požadavky.

Autor: Martin Kašša, auditor ISO/IEC 27001

 

(Použité zdroje: ISO/IEC DIS 27002 Information security, Cybersecurity and privacy protection - Information security controls)

Doporučená školení:

Název školení Trvání školení Místo konání Cena Nejbližší termín
1 den (8:00 - 14:00)
Online 6 900 CZK
8 349 CZK s DPH
03.10.2022 + 7
2 dny (8:00 - 14:00)
Online 8 900 CZK
10 769 CZK s DPH
03.10.2022, 07.10.2022 + 7
2 dny (8:00 - 14:00)
Online 8 900 CZK
10 769 CZK s DPH
28.11.2022 - 29.11.2022 + 4
2 dny
Firemní školení Na vyžádání
Podle Vás

Mohlo by Vás zajímat:

Podobné články

Jaký je rozdíl mezi ISO/IEC 27001 a ISO/IEC 27002

Jaký je rozdíl mezi ISO/IEC 27001 a ISO/IEC 27002

KATEGORIE

Rok 2022 bude pro rodinu norem řady ISO/IEC 27000 klíčový. V únoru vyšla revidovaná norma ISO/IEC 27002:2022 a ISO 27001 ji bude následovat. Jaký je ale rozdíl mezi těmito dvěma normami? Nač jsou zaměřeny a proč by je měly organizace znát?

Zobrazit víc
Jak změny normy ISO/IEC 27002:2022 ovlivní organizace, které mají zavedené ISO/IEC 27001:2013?

Jak změny normy ISO/IEC 27002:2022 ovlivní organizace, které mají zavedené ISO/IEC 27001:2013?

KATEGORIE

V článku se dočtete jak se dotkla revize ISO/IEC 27002:2022 normy ISO/IEC 27001. Jaké nastaly hlavní změny a co čeká organizace, které mají zavedenou normu ISO/IEC 27001 nebo plánují zavedení této normy.

Zobrazit víc
Co je to OEE a proč je důležité?

Co je to OEE a proč je důležité?

KATEGORIE

S rostoucí konkurencí na trhu musí výrobci zvyšovat produktivitu výroby kvalitních výrobků. V dnešní ekonomice se od vás očekává, že budete neustále zlepšovat návratnost celkového kapitálu. Protože je obtížné získat kapitál na výstavbu nových, účinnějších závodů a nákup nových zařízení, často musíte splnit rostoucí výrobní požadavky se současným vybavením a zařízením a současně vedle toho ještě snižovat výdaje.

Zobrazit víc
3 základní kroky pro udržení si ISO certifikace

3 základní kroky pro udržení si ISO certifikace

KATEGORIE

Abyste si udrželi svou certifikaci a plnily požadavky norem ISO (s cílem dosáhnout každoročně úspěšné výsledky auditu), musíte pravidelně provádět několik činností. Uvádíme 3 základní činností, které byste měli provádět, abyste splnili současné požadavky ISO normy a vyhnuli se tak případné ztrátě ISO certifikace.

Zobrazit víc

Newsletter