Obecnie obowiązującą wersją normy jest ISO/IEC 27001:2022, opublikowana w październiku 2022 roku. Organizacje posiadające certyfikat ISO/IEC 27001:2013 mają 3 lata na dostosowanie swojego Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) do nowej normy, co oznacza, że ostateczny termin wdrożenia to październik 2025 roku
Czym jest międzynarodowa norma ISO/IEC 27001
Norma ISO/IEC 27001, znana jako międzynarodowy standard dla Systemów Zarządzania Bezpieczeństwem Informacji, stanowi zbiór najlepszych praktyk, które pomagają organizacjom w zarządzaniu ryzykiem związanym z bezpieczeństwem informacji. Opisuje ona wymagania dla wdrożenia, utrzymania i ciągłego doskonalenia SZBI, co pozwala organizacjom chronić wszelkiego rodzaju informacje, niezależnie od ich formy – czy to elektronicznej, papierowej, czy przechowywanej na przenośnych nośnikach danych. Norma wskazuje jak w sposób zintegrowany i całościowy zarządzać bezpieczeństwem, jak odpowiednio przydzielić odpowiedzialność za poszczególne zadania w kontekście bezpieczeństwa informacji, oraz jak dzięki wdrożeniu SZBI można podnieść poziom dojrzałości procesów nie tylko w obszarze informatyki. Prawidłowe wdrożenie Normy ISO27001 podnosi zaufanie do firm na rynku i daje znaczną przewagę konkurencyjną przede wszystkim w sektorach, które najbardziej wrażliwe są na utratę danych. Działając zgodnie z normą ISO/IEC 27001, organizacje mogą skutecznie identyfikować, oceniać i zarządzać ryzykiem bezpieczeństwa informacji, w odniesieniu do trzech głównych atrybutów bezpieczeństwa informacji tzn. jej poufności, integralności i dostępności.
Najważniejsze zmiany w normie ISO/IEC 27001:2022:
Warto podkreślić, że wdrożone zmiany z pozoru są niewielkie. W części głównej Normy dotyczą zaledwie kilku punktów. Załącznik A z kolei wzbogacił się o zabezpieczenia wynikające wprost z rozwoju technologii i koniecznością dodawania zabezpieczeń odpowiadających na wymagania i oczekiwania rynku.
Część główna jasno wskazuje kierunek zmian, który polegać ma docelowo na tym, że realnie podmiot certyfikowany powinien zademonstrować zdolność do analizy ryzyka zarówno w procesach biznesowych, jak i w samym SZBI.
Zmiany w części głównej Normy w praktyce wymagają między innymi następujących działań, w odniesieniu do poprzedniej wersji:
- reorganizacji w zakresie zarządzania ryzykiem w procesach biznesowych, ponownego ich przeglądu,
- dokonania ponownej analizy procesów i podprocesów zachodzących w obszarze SZBI a także ryzyk wynikających wprost z tych procesów,
- uszczegółowienia wymagań zainteresowanych stron w kontekście SZBI,
- redefinicji deklaracji stosowania uwzględniając sugerowane w załączniku A zabezpieczenia oraz możliwość uzupełnienia ich zabezpieczeniami wywodzącymi się z innych standardów czy dobrych praktyk w zależności od potrzeb i kontekstu funkcjonowania organizacji,
- przeglądu celów SZBI i dokonania ich właściwej kaskadyzacji.
Zrestrukturyzowano listę kontrolną załącznika A: Zamiast 114 kontroli, nowa norma zawiera 93, podzielone na 4 grupy:
- Bezpieczeństwo organizacyjne
- Bezpieczeństwo ludzi
- Bezpieczeństwo technologii
- Ochrona danych
Dodano 11 nowych kontroli:
- Analiza zagrożeń
- Bezpieczeństwo informacji w chmurze
- Gotowość teleinformatyczna do zapewnienia ciągłości działania
- Monitorowanie bezpieczeństwa fizycznego
- Działania monitorujące
- Filtrowanie sieci
- Bezpieczne kodowanie
- Zarządzanie konfiguracją
- Maskowanie danych
- Zapobieganie wyciekom danych
- Usuwanie informacji
Załącznik A natomiast wskazuje na dodatkowe zabezpieczenia które jednoznacznie wynikają z rozwoju technologii, jak również nowych zagrożeń pojawiających się na rynku. Działania te skupiają się w dużej mierze przy zagadnieniu ciągłości działania odwołując się do zagadnień znanych z Normy ISO 22301, co wskazywać może na konieczność uzyskania spójnego podejścia zarówno po stronie IT i biznesu do przeglądu procesów, analizy ich krytyczności oraz dokonania uzgodnień w obszarze ciągłości działania.
Innymi nowościami są wymogi technologiczne w obszarach takich jak DLP (Data Leakage Prevention), maskowanie danych czy filtrowanie sieci. Jest to wynik międzynarodowego trendu zwiększania zabezpieczeń w tych obszarach, czego przyczyną są powtarzające się ataki przy wykorzystaniu istniejących podatności.
Reasumując – zmiany w Normie 27001 wydają się być jedynie inkrementalne, jednakże wymagają odświeżenia pewnych reguł, standardów oraz zakładają pewien wzrost nakładów na zabezpieczenia technologiczne. Słusznie zwrócono uwagę, że niektóre z nich, jak DLP, nie powinny być dziś wyjątkiem a regułą wykorzystywaną przez organizacje. Z przyjemnością pomożemy Państwu w szczegółowej analizie zmian zapewniając indywidualne podejście do recertyfikacji.
Korzyści z wdrożenia normy ISO/IEC 27001:2022
- Zwiększenie zaufania klientów i partnerów: Posiadanie certyfikatu zgodności z ISO/IEC 27001:2022 świadczy o wysokich standardach bezpieczeństwa informacji w organizacji, co buduje zaufanie zarówno klientów, jak i partnerów biznesowych.
- Poprawa wizerunku firmy: Przejście przez proces certyfikacji ISO/IEC 27001:2022 dowodzi zaangażowania firmy w ochronę informacji oraz dbałości o prywatność klientów, co może przynieść korzyści wizerunkowe i reputacyjne.
- Zmniejszenie ryzyka cyberataków: Implementacja standardów ISO/IEC 27001:2022 pozwala identyfikować, oceniać i zarządzać ryzykiem związanym z bezpieczeństwem informacji, co zmniejsza prawdopodobieństwo wystąpienia ataków cybernetycznych oraz minimalizuje skutki ewentualnych incydentów.
- Usprawnienie zarządzania ryzykiem: ISO/IEC 27001:2022 wymaga ciągłego monitorowania i oceny ryzyka związanego z bezpieczeństwem informacji, co prowadzi do bardziej efektywnego zarządzania ryzykiem oraz podejmowania świadomych decyzji w celu minimalizacji zagrożeń.
- Zwiększenie efektywności procesów: Proces wdrożenia i utrzymania systemu zarządzania bezpieczeństwem informacji zgodnego z ISO/IEC 27001:2022 wymaga analizy istniejących procesów, co może prowadzić do ich optymalizacji, usprawnienia oraz zwiększenia efektywności operacyjnej organizacji.
Nowelizacja normy ISO/IEC 27001:2022 jest odpowiedzią na rosnące zagrożenia cybernetyczne. Wdrożenie nowej normy może przynieść wiele korzyści organizacjom, które chcą chronić swoje informacje i budować zaufanie klientów.
AUTORKA: Paulina Wójcik, Cyberbezpieczeństwo i outsourcing IT
