Megjelent az új 27001 szabvány az ISO/IEC 27001:2022, amely az új ISO ISO/IEC 27002:2022 követelményszabványa.

Az új szabvány szerint lehet tanúsítványt szerezni átállással vagy új rendszer kidolgozással.
A jelenleg érvényes tanúsítványokról két éven belül át kell állni az új tanúsítványokra.

Változások az új ISO 27001:2022-ben

A legfontosabb változás már a címében benne van, miután bevette az érvényességi területe alá a személyes adatok védelmét azaz a „Privacy”-t.

„Információbiztonság, kiberbiztonság és a személyes adatok védelme” - Követelmények

Az ISO 27001:2022 főbb változásai a következők:

Az A. melléklet hivatkozik az ISO/IEC 27002:2022 szabványban szereplő kontrollokra, amely tartalmazza az adott kontroll címét és kontrollt magát.

Az új információbiztonsági irányítási rendszer kialakításakor / átalakításakor ki kell alakítani és be kell vezetni a kiberbiztonság és a személyes adatok védelme érdekében előírt felügyeleti kontrollokat.

Változások az ISO 27001:2022-ben

Az eddigi szabvány 114 kontrollt tartalmazott 14 területen
az új 27001:2022 szabvány 93 kontrollt tartalmaz 4 területen:

5. fejezet – Szervezet – 37 kontroll
6. fejezet – Emberi erőforrások – 8 kontroll
7. fejezet – Fizikai biztonság – 14 kontroll
8. fejezet – Technológiai biztonság – 34 kontroll.

Ezek között 12 teljesen új kontroll lesz, ami a megváltozott technológiai körülmények miatt lett szükséges, melyek a következők:

Fenyegetések kezelése
Információbiztonság a felhőszolgáltatások használatához
Személyazonosság-kezelés
Info-kommunikációs felkészültség az üzletmenet folytonosságához
Fizikai biztonság felügyelete
Felhasználói végponti eszközök
Konfigurációkezelés
Információtörlés kezelése
Adatmaszkolás
Adatszivárgás megelőzése
Webszűrés
Biztonságos kódolás

Az egyes kontrollok kategórizálását elősegítendő, öt jellemzővel (#hashtag taxonómia) látták el őket, melyek:

A kontoll típusa (#megelőző, #felderítő, #javító)
Információbiztonsági tulajdonságok (#bizalmasság, #integritás, #rendelkezésre állás)
Kiberbiztonsági koncepciók (#azonosítás, #védelem, #észlelés, #reagálás, #helyreállítás) ezáltal a NIST Cybersecurity Framework öt „funkcionalitásával” kerül összhangba (lásd: NIST 800-170)
Működési képességek (#irányítás, #IT eszközkezelés, #információvédelem, stb)
Biztonsági domain-ek (#irányítás és ökoszisztéma, #védelem, #ellenálló képesség)

Ezek javaslatok, lehet más kategóriákat is használni.

16 kontrollt töröltek, mivel azok megkettőződtek, vagy jobban illeszkednek más kontrollok alá:

Az információbiztonságra vonatkozó politikák felülvizsgálata
Mobileszköz-szabályzat
Eszközök tulajdonjoga
Eszközök kezelése
Jelszókezelési rendszer
Kézbesítési és rakodási területek
Eszközök eltávolítása
Felügyelet nélküli felhasználói berendezések
A naplóinformációk védelme
A szoftverek telepítésének korlátozása
Elektronikus üzenetküldés
Az alkalmazásszolgáltatások védelme nyilvános hálózatokon
Az alkalmazásszolgáltatások tranzakcióinak védelme
Rendszerátvételi tesztek Információbiztonsági hiányosságok jelentése
Technikai megfelelőség felülvizsgálata.

Van néhány kontroll, amelyeket módosítottak és integráltak, hogy egyetlen fő vezérlőelemmé váljanak. Néhány példa:

A "Vagyon leltár" "Információs és egyéb kapcsolódó eszközök (assets) leltár" névre módosul.
"Az eszközök elfogadható használata" "Az információs és egyéb kapcsolódó eszközök (assets) elfogadható használata" -ra módosult.
A kriptográfiai ellenőrzésekre és kulcskezelésre stb. vonatkozó irányelv „A kriptográfiai felügyelet használata" címre változott.
Az eseménynaplózás átnevezése "Naplózás"-ra.
A rendszergazdai és üzemeltetői naplózás "Monitoring tevékenységek" címre változott.
Az információátadási irányelvek és eljárások, az információátadásról szóló megállapodás stb. az "Információátadás" alatt egy fő kontrollban egyesítve.

Cégünk vállalja az új 27001:2022 szabvány követelményeinek való megfelelésre történő átállás elősegítését, dokumentáció átdolgozását, belső auditok megtartását, külső auditra történő felkészítést, valamint partnet tanúsítónkkal a tanúsítás megszervezését és kivitelezését.

2022.10.28