Gyors információra van szüksége?   -   +36-30-919-1690

      

 

  

  

 

Megjelent az új 27001 szabvány az ISO/IEC 27001:2022, amely az új ISO ISO/IEC 27002:2022 követelményszabványa.

Az új szabvány szerint lehet tanúsítványt szerezni átállással vagy új rendszer kidolgozással.
A jelenleg érvényes tanúsítványokról két éven belül át kell állni az új tanúsítványokra.

Változások az új ISO 27001:2022-ben

A legfontosabb változás már a címében benne van, miután bevette az érvényességi területe alá a személyes adatok védelmét azaz a „Privacy”-t.

„Információbiztonság, kiberbiztonság és a személyes adatok védelme” - Követelmények

Az ISO 27001:2022 főbb változásai a következők:

  • Az A. melléklet hivatkozik az ISO/IEC 27002:2022 szabványban szereplő kontrollokra, amely tartalmazza az adott kontroll címét és kontrollt magát.

Az új információbiztonsági irányítási rendszer kialakításakor / átalakításakor ki kell alakítani és be kell vezetni a kiberbiztonság és a személyes adatok védelme érdekében előírt felügyeleti kontrollokat.

Változások az ISO 27001:2022-ben

Az eddigi szabvány 114 kontrollt tartalmazott 14 területen
az új 27001:2022 szabvány 93 kontrollt tartalmaz 4 területen: 

  • 5. fejezet – Szervezet – 37 kontroll
  • 6. fejezet – Emberi erőforrások – 8 kontroll
  • 7. fejezet – Fizikai biztonság – 14 kontroll
  • 8. fejezet – Technológiai biztonság – 34 kontroll.

Ezek között 12 teljesen új kontroll lesz, ami a megváltozott technológiai körülmények miatt lett szükséges, melyek a következők:

  • Fenyegetések kezelése
  • Információbiztonság a felhőszolgáltatások használatához
  • Személyazonosság-kezelés  
  • Info-kommunikációs felkészültség az üzletmenet folytonosságához  
  • Fizikai biztonság felügyelete  
  • Felhasználói végponti eszközök  
  • Konfigurációkezelés 
  • Információtörlés kezelése  
  • Adatmaszkolás
  • Adatszivárgás megelőzése  
  • Webszűrés 
  • Biztonságos kódolás

Az egyes kontrollok kategórizálását elősegítendő, öt jellemzővel (#hashtag taxonómia) látták el őket, melyek: 

  • A kontoll típusa (#megelőző, #felderítő, #javító)
  • Információbiztonsági tulajdonságok (#bizalmasság, #integritás, #rendelkezésre állás)
  • Kiberbiztonsági koncepciók (#azonosítás, #védelem, #észlelés, #reagálás, #helyreállítás) ezáltal a NIST Cybersecurity Framework öt „funkcionalitásával” kerül összhangba (lásd: NIST 800-170)
  • Működési képességek (#irányítás, #IT eszközkezelés, #információvédelem, stb) 
  • Biztonsági domain-ek (#irányítás és ökoszisztéma, #védelem, #ellenálló képesség)

Ezek javaslatok, lehet más kategóriákat is használni.

16 kontrollt töröltek, mivel azok megkettőződtek, vagy jobban illeszkednek más kontrollok alá:

  • Az információbiztonságra vonatkozó politikák felülvizsgálata  
  • Mobileszköz-szabályzat
  • Eszközök tulajdonjoga  
  • Eszközök kezelése  
  • Jelszókezelési rendszer  
  • Kézbesítési és rakodási területek  
  • Eszközök eltávolítása  
  • Felügyelet nélküli felhasználói berendezések  
  • A naplóinformációk védelme  
  • A szoftverek telepítésének korlátozása  
  • Elektronikus üzenetküldés  
  • Az alkalmazásszolgáltatások védelme nyilvános hálózatokon  
  • Az alkalmazásszolgáltatások tranzakcióinak védelme  
  • Rendszerátvételi tesztek Információbiztonsági hiányosságok jelentése 
  • Technikai megfelelőség felülvizsgálata.

Van néhány kontroll, amelyeket módosítottak és integráltak, hogy egyetlen fő vezérlőelemmé váljanak. Néhány példa: 

  • A "Vagyon leltár" "Információs és egyéb kapcsolódó eszközök (assets) leltár" névre módosul.  
  • "Az eszközök elfogadható használata" "Az információs és egyéb kapcsolódó eszközök (assets) elfogadható használata" -ra módosult.  
  • A kriptográfiai ellenőrzésekre és kulcskezelésre stb. vonatkozó irányelv „A kriptográfiai felügyelet használata" címre változott.  
  • Az eseménynaplózás átnevezése "Naplózás"-ra.  
  • A rendszergazdai és üzemeltetői naplózás "Monitoring tevékenységek" címre változott.
  • Az információátadási irányelvek és eljárások, az információátadásról szóló megállapodás stb. az "Információátadás" alatt egy fő kontrollban egyesítve.

Cégünk vállalja az új 27001:2022 szabvány követelményeinek való megfelelésre történő átállás elősegítését, dokumentáció átdolgozását, belső auditok megtartását, külső auditra történő felkészítést, valamint partnet tanúsítónkkal a tanúsítás megszervezését és kivitelezését.

2022.10.28

ALFA-CON Tanácsadó Iroda és Oktatóközpont Kft.
Székhely / Iroda: 1022-Budapest, Rókushegyi lépcső 9/A.
Telefon / Fax: (06-1) 780-5096
Mobil: (+36 30) 919-1690
E-mail: Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.

Minden jog fenntartva © 2024 Alfa-Con Kft -----  Weboldal: Tomor Visual Graphics