Jak změny normy ISO/IEC 27002:2022 ovlivní organizace, které mají zavedené ISO/IEC 27001:2013?
Nový dodatek ISO/IEC 27001, jehož zveřejnění se očekává v letošním roce, bude obsahovat pouze změny v příloze A, zatímco články 4 až 10 zůstanou stejné. Organizace budou muset aktualizovat zásady a postupy podle nových ovládacích prvků. Budou muset změnit své bezpečnostní metriky a aktualizovat dokumenty a postupy, aby byly v souladu s novou přílohou A normy ISO 27001:2013..
Co se změnilo v ISO/IEC 27002:2022 a ISO/IEC 27001 příloze A:
- 35 kontrol zůstalo stejných a spolu s novými kontrolami byly přesunuty do 4 sekcí;
- bylo přidáno 11 nových kontrol;
- 23 ovládacích prvků bylo přejmenováno, aby byly srozumitelnější
- I když se počet kontrol snížil (ze 114 na 93 ) nebyly vyloučeny žádné kontroly, jen se pospojovali
- 57 kontrol bylo sloučeno do 24 kontrol;
- Kontrola 18.2.3 Přezkoumání technické shody byla rozdělena na:
- 5.3.6 – Soulad s politikami, pravidly a standardy pro informační bezpečnost [Compliance with policies, rules and standards for information security];
- 8.8 – Řízení technických zranitelností [Management of technical vulnerabilities]
Chci si zavést a certifikovat normu ISO/IEC 27001, mám čekat na revizi?
Pro certifikované společnosti začne platit přechodné období 3 let, kdy se budou muset připravit na nové změny v normě ISO/IEC 27001. Toto přechodné období začne platit až po aktualizaci a zveřejnění nové normy ISO/IEC 27001.
Organizace ale mohou využít revidovanou normu ISO/IEC 27002 a proaktivně se začít připravovat na změnu.
V překladu to znamená, že norma ISO/IEC 27001:2013 bude platit ještě minimálně 3 roky od přijetí revize, z toho důvodu není třeba čekat na změnu. Čekání na revizi normy může negativně ovlivnit vaši informační bezpečnost i obchodní příležitosti a vzhledem k aktualizaci normy ISO/IEC 27002 bude následný přechod na novou verzi normy ISO/IEC 27001 minimální.
Společnost CeMS-CO s.r.o. po vydání aktualizací a dodatků k normě ISO/IEC 27001 upraví svá školení a vy se tak budete moci rychle seznámit se všemi změnami.
Předpokládaný termín změn je naplánován na duben - květen 2022. Odebírejte naše aktuality, kde Vás informujeme o všech oficiálních změnách v normách.
Nejnovější články
Newsletter
Doporučená školení:
Mohlo by Vás zajímat:
- Externí manažer kybernetické bezpečnosti (outsourcing)
- TISAX - Informační bezpečnost dodavatelů v automotive
- Certifikace systému managementu informační bezpečnosti podle normy ISO / IEC 27001
Podobné články
AI v Automotive: Praktické využití umělé inteligence pro nástroje kvality
Umělá inteligence se již posouvá do role praktického pomocníka kvality a procesního inženýrství. Víte, jak je možné využít AI v oblasti automotive?
Proč váš IT administrátor nemůže být zároveň manažerem kybernetické bezpečnosti?
Manažer kybernetické bezpečnosti je strategická role odpovědná za řízení a dohled nad celkovým stavem informační bezpečnosti organizace, včetně identifikace rizik, implementace politik a zajištění souladu s legislativou. Naopak IT administrátor se primárně zaměřuje na provoz, údržbu a podporu IT infrastruktury. Podle normy ISO/IEC 27001 čl. 4.1, který definuje kontext a rozsah odpovědností v rámci řízení, je klíčové pochopit, že tyto dvě pozice vyžadují odlišné dovednosti, perspektivy a míru nezávislosti, což znemožňuje jejich efektivní sloučení do jedné osoby.
Směrnice NIS 2 a nová pravidla kybernetické bezpečnosti: Co je třeba vědět?
V digitální éře, kde kybernetické útoky ohrožují stabilitu celých sektorů, se ochrana sítí a informačních systémů stává prioritou číslo jedna. Evropská unie reaguje na tuto eskalující hrozbu zpřísněním legislativy.