Zmiany w normie ISO/IEC 27001 – przegląd najważniejszych aktualizacji

Obecnie obowiązującą wersją normy jest ISO/IEC 27001:2022, opublikowana w październiku 2022 roku. Organizacje posiadające certyfikat ISO/IEC 27001:2013 mają 3 lata na dostosowanie swojego Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) do nowej normy, co oznacza, że ostateczny termin wdrożenia to październik 2025 roku

Czym jest międzynarodowa norma ISO/IEC 27001

Norma ISO/IEC 27001, znana jako międzynarodowy standard dla Systemów Zarządzania Bezpieczeństwem Informacji, stanowi zbiór najlepszych praktyk, które pomagają organizacjom w zarządzaniu ryzykiem związanym z bezpieczeństwem informacji. Opisuje ona wymagania dla wdrożenia, utrzymania i ciągłego doskonalenia SZBI, co pozwala organizacjom chronić wszelkiego rodzaju informacje, niezależnie od ich formy – czy to elektronicznej, papierowej, czy przechowywanej na przenośnych nośnikach danych. Norma wskazuje jak w sposób zintegrowany i całościowy zarządzać bezpieczeństwem, jak odpowiednio przydzielić odpowiedzialność za poszczególne zadania w kontekście bezpieczeństwa informacji, oraz jak dzięki wdrożeniu SZBI można podnieść poziom dojrzałości procesów nie tylko w obszarze informatyki. Prawidłowe wdrożenie Normy ISO27001 podnosi zaufanie do firm na rynku i daje znaczną przewagę konkurencyjną przede wszystkim w sektorach, które najbardziej wrażliwe są na utratę danych. Działając zgodnie z normą ISO/IEC 27001, organizacje mogą skutecznie identyfikować, oceniać i zarządzać ryzykiem bezpieczeństwa informacji, w odniesieniu do trzech głównych atrybutów bezpieczeństwa informacji tzn. jej poufności, integralności i dostępności.

Najważniejsze zmiany w normie ISO/IEC 27001:2022:

Warto podkreślić, że wdrożone zmiany z pozoru są niewielkie. W części głównej Normy dotyczą zaledwie kilku punktów. Załącznik A z kolei wzbogacił się o zabezpieczenia wynikające wprost z rozwoju technologii i koniecznością dodawania zabezpieczeń odpowiadających na wymagania i oczekiwania rynku.

Część główna jasno wskazuje kierunek zmian, który polegać ma docelowo na tym, że realnie podmiot certyfikowany powinien zademonstrować zdolność do analizy ryzyka zarówno w procesach biznesowych, jak i w samym SZBI.

Zmiany w części głównej Normy w praktyce wymagają między innymi następujących działań, w odniesieniu do poprzedniej wersji:

• reorganizacji w zakresie zarządzania ryzykiem w procesach biznesowych, ponownego ich przeglądu,
• dokonania ponownej analizy procesów i podprocesów zachodzących w obszarze SZBI a także ryzyk wynikających wprost z tych procesów,
• uszczegółowienia wymagań zainteresowanych stron w kontekście SZBI,
• redefinicji deklaracji stosowania uwzględniając sugerowane w załączniku A zabezpieczenia oraz możliwość uzupełnienia ich zabezpieczeniami wywodzącymi się z innych standardów czy dobrych praktyk w zależności od potrzeb i kontekstu funkcjonowania organizacji,
• przeglądu celów SZBI i dokonania ich właściwej kaskadyzacji.

Zrestrukturyzowano listę kontrolną załącznika A: Zamiast 114 kontroli, nowa norma zawiera 93, podzielone na 4 grupy:

• Bezpieczeństwo organizacyjne
• Bezpieczeństwo ludzi
• Bezpieczeństwo technologii
• Ochrona danych

Dodano 11 nowych kontroli:

• Analiza zagrożeń
• Bezpieczeństwo informacji w chmurze
• Gotowość teleinformatyczna do zapewnienia ciągłości działania
• Monitorowanie bezpieczeństwa fizycznego
• Działania monitorujące
• Filtrowanie sieci
• Bezpieczne kodowanie
• Zarządzanie konfiguracją
• Maskowanie danych
• Zapobieganie wyciekom danych
• Usuwanie informacji

Załącznik A natomiast wskazuje na dodatkowe zabezpieczenia które jednoznacznie wynikają z rozwoju technologii, jak również nowych zagrożeń pojawiających się na rynku. Działania te skupiają się w dużej mierze przy zagadnieniu ciągłości działania odwołując się do zagadnień  znanych z Normy ISO 22301, co wskazywać może na konieczność uzyskania spójnego podejścia zarówno po stronie IT i biznesu do przeglądu procesów, analizy ich krytyczności oraz dokonania uzgodnień w obszarze ciągłości działania.

Innymi nowościami są wymogi technologiczne w obszarach takich jak DLP (Data Leakage Prevention), maskowanie danych czy filtrowanie sieci. Jest to wynik międzynarodowego trendu zwiększania zabezpieczeń w tych obszarach, czego przyczyną są powtarzające się ataki przy wykorzystaniu istniejących podatności.

Reasumując – zmiany w Normie 27001 wydają się być jedynie inkrementalne, jednakże wymagają odświeżenia pewnych reguł, standardów oraz zakładają pewien wzrost nakładów na zabezpieczenia technologiczne. Słusznie zwrócono uwagę, że niektóre z nich, jak DLP, nie powinny być dziś wyjątkiem a regułą wykorzystywaną przez organizacje. Z przyjemnością pomożemy Państwu w szczegółowej analizie zmian zapewniając indywidualne podejście do recertyfikacji.