ISO 27002:2022 Muutokset, päivitykset ja vertailu

ISO / IEC 27002 on tarkistettu päivittämään tietoturvakontrollit vastaamaan kehitystä ja nykyisiä tietoturvakäytäntöjä eri sektoreilla ja hallinnolla.

Tässä viestissä selitämme tärkeimmät standardiin tehdyt muutokset ja kuinka voit lähestyä niitä onnistuneesti.

ISO 27002:2013:een liittyviä tai siihen perustuvia standardeja ja muita vastaavia suojakehyksiä on suuri määrä. Tämän standardin muuttaminen uuteen versioon vaikuttaa niihin.

ISO 27002 2013 alkuperäinen soveltamisala

ISO 27002:2013:n ensisijainen tarkoitus oli tarjota kattava tietoturva- ja omaisuudenhallintaohjelma organisaatiolle, joka joko tarvitsi uuden tietoturvan hallintaohjelman tai halusi parantaa olemassa olevia tietoturvakäytäntöjään ja -käytäntöjään. Käytäntösäännöt antoivat suosituksia tietoturvan hallinta organisaation tietoturvan käynnistämisestä, toteuttamisesta ja ylläpitämisestä vastaaville.

Mikä on muuttunut ISO 27002 2022:ssa?

Standardissa ISO 27002:2022 standardin nimi on muutettu. Sijasta "Tietotekniikka – Tietoturvatekniikat – Tietoturvavalvonnan käytännesäännöt”, nimi on nyt ”Tietoturvallisuus, kyberturvallisuus ja yksityisyyden suoja – Tietoturvan valvonta” vuoden 2022 versiossa.

Muutokset vaatimustenmukaisuusmaisemassa, esim. määräykset, kuten GDPR (yleinen tietosuoja-asetus), POPIA (Protection of Personal Information Act), APPs (Australian Privacy Principles), kehittyvä liiketoiminnan jatkuvuus, kyberriskit ja organisaatioiden kohtaamat vaatimustenmukaisuushaasteet ympäri maailmaa sekä ISO 27701:n käyttöönotto johtivat ISO 27002 -standardin tarpeeseen laajentaa soveltamisalaa. sen ohjaimia alkuperäisestä tietoturvapainotteisesta paikasta kyberturvallisuuden sekä tietojen yksityisyyden ja haavoittuvuuksien hallinnan huomioon ottamiseksi.

ISO-organisaatio toivoo parantavansa tarkoitusta tarjoamalla referenssijoukon tietoturva ohjaustavoitteet käytettäväksi kontekstikohtaisessa tietoturva-, yksityisyys- ja kyberturvallisuusriskien hallinnassa.

Milloin se lähti live-lähetykseen?

Uusi ISO 27002 2022 -versio julkaistiin 15. helmikuuta 2022.

Muutosten tulkinta

Ensivaikutelmamme uudistetusta standardista on, että se tarjoaa yksinkertaisemman rakenteen, jota voidaan soveltaa koko organisaatioon ja jota voidaan nyt käyttää myös laajemman riskiprofiilin hallintaan. Tämä voi sisältää tietoa turvallisuus ja fyysisen turvallisuuden teknisemmät näkökohdat, omaisuudenhallinta, kyberturvallisuus ja yksityisyyden suojan mukana tulevat henkilöresurssien tietoturvaelementit.

Ensimmäinen merkittävä muutos standardiin on siirtyminen pois "Käytännöstä" ja sen sijoittaminen ohjausjoukoksi, joka voi joko itsenäinen tai olla osana ISO 27001 -tietoturvan hallintajärjestelmää.

Mikä on muuttunut?

Ohjainten määrä uudessa ISO 27002 2022 -versiossa on laskenut vuoden 114 painoksen 14:stä 2013 lausekkeesta 93:een vuoden 2022 painoksessa. Nämä ohjaimet on nyt luokiteltu neljään ohjaus-"teemaan", jotka ovat "Organisaatio-ohjaus", "Ihmisten hallinta", "Fyysinen ohjaus" ja "Teknologinen ohjaus".

Mikä on valvonta?

"Valvonta" määritellään toimenpiteeksi, joka muuttaa tai ylläpitää riskiä. An tietoturvapolitiikkaesimerkiksi voi vain ylläpitää riskiä, ​​kun taas tietoturvapolitiikan noudattaminen voi muuttaa riskiä. Lisäksi jotkin kontrollit kuvaavat samaa yleistä toimenpidettä eri riskiyhteyksissä.

Ohjausohjeet

Jokaisen kontrollin Ohje-osio on tarkistettu ja päivitetty (tarvittaessa) vastaamaan nykyistä kehitystä ja käytäntöjä. Lisäksi jokainen ohjausobjekti on nyt varustettu 'Purpose'-lauseella ja joukolla "attribuutteja", jotka liittyvät myös kyberturvallisuuskonsepteihin ja muihin turvallisuuden parhaisiin käytäntöihin.

Mitkä säätimet ovat muuttuneet?

93 kontrollista (ja verrattuna vuoden 2013 painokseen) 11 ohjausobjektia on uusia, 24 on yhdistetty ja 58 päivitetty (pääasiassa Ohje-osion osalta).

Ohjausjoukot on nyt järjestetty neljään (4) luokkaan tai teemaan neljäntoista (14) ohjausalueen sijaan. Neljä luokkaa sisältävät:

• organisatorinen
• Ihmiset
• fyysinen
• Teknologinen

Ohjainten kokonaismäärää on vähennetty – ISO 21:27002:n uudessa versiossa on 2022 ohjausobjektia vähemmän.

Ohjauksen redundanssin välttämiseksi tehtiin yhteisiä ponnisteluja. Vuoden 2022 versio sisältää 24 säädintä, jotka yhdistettiin vuoden 2013 versiosta.

Standardissa on nyt 11 uutta säätimet vastaamaan nykyistä tietoturvaa, fyysinen turvallisuus ja kyberturvallisuus.

Ohjausryhmän ohjaustavoite on korvattu vuoden 2022 versiossa "purpose"-elementillä.

Riskien vähentämis-, arviointi- ja käsittelyprosessin tehostamiseksi on otettu käyttöön käsite "valvontaan liittyvät ominaisuudet". Lisäksi voit luoda erilaisia ​​näkymiä säätimistä eli ohjaimien luokitteluja eri näkökulmasta kuin ohjausteemat.

Uudet säätimet

Standardin ISO/IEC 27002:2022 soveltamisala sisältää nyt 11 uutta säädintä. Nämä ovat:

1. Uhan älykkyys – hyökkääjien ja heidän menetelmiensä ymmärtäminen IT-ympäristösi kontekstissa.
2. Tietoturva pilvipalvelujen käyttöön – Pilvialoitteiden käyttöönottoa operatiivisesti lopettamiseen on nyt harkittava kattavasti.
3. ICT-valmius liiketoiminnan jatkuvuuteen – IT-ympäristön vaatimukset olisi johdettava yleisistä liiketoimintaprosesseista ja kyvystä palauttaa toimintakyky.
4. Fyysinen turvavalvonta – hälytys- ja valvontajärjestelmien käyttö luvattoman fyysisen pääsyn estämiseksi on korostunut.
5. Konfigurointi hallinta – IT-järjestelmien karkaisu ja turvallinen konfigurointi.
6. Tietojen poistaminen – ulkoisten vaatimusten, kuten tietosuojapoistokonseptien, noudattaminen on toteutettava.
7. Tietojen peittäminen – tietojen peittävien tekniikoiden, kuten anonymisoinnin ja pseudonymisoinnin, käyttö tietosuojasi vahvistamiseksi.
8. Tietovuotojen estäminen – toimenpiteiden toteuttaminen arkaluonteisten tietojen vuotamisen estämiseksi.
9. Valvontatoimintoja – organisaatiosi tulisi valvoa verkon turvallisuutta ja sovelluksen käyttäytyminen verkkopoikkeamien havaitsemiseksi.
10. Web-suodatus – auttaa estämään käyttäjiä katsomasta tiettyjä haitallista koodia sisältäviä URL-osoitteita.
11. Turvallinen koodaus – työkalujen käyttäminen, kommentointi, muutosten seuraaminen ja turvattomien ohjelmointimenetelmien välttäminen ovat keinoja varmistaa turvallinen koodaus.

Se antaa meille:

• 93-säätimet 27002:n uudessa versiossa.
• 11 säädintä ovat uusia.
• Yhteensä 24 ohjausobjektia yhdistettiin kahdesta, kolmesta tai useammasta vuoden 2013 versiosta; ja
• Vuoden 58 versiosta tarkistettiin 2013 säädintä ja muutettiin vastaamaan nykyistä tietoympäristöä turvallisuus ja kyberturvallisuus.
• liite A, joka sisältää ohjeita attribuuttien soveltamisesta ja
• liite B, joka vastaa ISO/IEC 27001 2013 -standardia. Se on pohjimmiltaan kaksitaulukkotaulukko, jossa on ristiviittauksia ohjausnumeroihin/tunnisteisiin viittauksen helpottamiseksi.

MITÄ OVAT attribuutit

ISO-standardin 27002 uusi versio sisältää attribuutit-osion jokaiselle säätimelle. Attribuutit ovat väline ohjaimien luokitteluun. Niiden avulla voit nopeasti mukauttaa ohjausvalintasi yleisten alan kielten ja standardien kanssa. Nämä attribuutit tunnistavat avainkohdat:

• Ohjaustyyppi
• InfoSec-ominaisuudet
• tietoverkkoturvallisuus käsitteet
• Toiminnalliset ominaisuudet
• Suojausalueet

Attribuuttien käyttö tukee työtä, jota monet yritykset jo tekevät riskinarviointissaan ja soveltuvuuslausunto (SOA).

Esimerkiksi NIST:n kyberturvallisuuskonseptit ja CIS-ohjaukset ovat selvästi erotettavissa ja muihin standardeihin liittyvät toimintakyvyt voidaan tunnistaa.

Miten tämä vaikuttaa sinuun?

ISO 27002 2022 -versio vaikuttaa organisaatioon seuraavasti:

• Jos sinulla on jo ISO 27001 2013 -sertifikaatti
• Oletko keskitason sertifiointi
• Jos olet aikeissa sertifioida uudelleen

ISO 27001 -sertifikaatti on voimassa kolme vuotta. Jos organisaatiosi on jo sertifioitu, sinun ei tarvitse tehdä mitään nyt, uudistettua ISO 27002 2022 -standardia sovelletaan uusimisen/uudelleensertifioinnin yhteydessä. Siksi on järkevää, että kaikkien sertifioitujen organisaatioiden on jossain vaiheessa valmistauduttava tarkistettuun standardiin.

Miten se vaikuttaa (uudelleen)sertifiointiisi?

Oletetaan, että organisaatio on parhaillaan ISO 27001 2013 -sertifiointi- tai uudelleensertifiointiprosessissa. Siinä tapauksessa heidän odotetaan käyvän uudelleen riskiarvioinnissaan ja tunnistavan soveltuvin osin uudet kontrollit ja tarkistavan Ilmoitus soveltuvuudesta" vertaamalla tarkistettuja liitteen A tarkastuksia. Koska on olemassa joitain uusia ohjausobjekteja ja muokattuja tai lisäohjeita muille säätimille, organisaatioiden on tarkistettava ISO 27002 -standardi mahdollisten toteutusmuutosten varalta.

Vaikka ISO 27001 -versio 2022 on vielä julkaisematta, ISO 27002:n liite B kartoittaa säädöt standardin vuosien 2013 ja 2022 versioiden välillä.

Soveltuvuusilmoituksesi (SOA) tulee silti viitata ISO 27001:n liitteeseen A, kun taas säätimien on viitattava ISO 27002:2022 tarkistettuun standardiin, joka on vaihtoehtoinen ohjaussarja.

Tarvitseeko sinun muuttaa asiakirjojasi

Näiden muutosten noudattamisen tulee sisältää:

• Päivitys sinulle riskihoitoprosessi päivitetyillä säätimillä
• Päivitys soveltamisilmoitukseesi
• Päivitä nykyiset käytäntösi ja menettelyt tarvittaessa ohjeiden avulla.

Miten se vaikuttaa ISO 27001 2013 -standardiin

Kunnes uusi ISO 27001 2022 -standardi julkaistaan, nykyiset ISO-sertifiointijärjestelmät jatkuvat, mutta liitteen B ja B27002 kautta vaaditaan kartoitus uusiin ISO 2022 1.2 -ohjaimiin.

Tulevia muutoksia ISO 27001:een

Useimmat tietoturvaa seuraavat ihmiset odottavat, että ISO 27001 -standardin muutokset ovat pieniä tekstimuutoksia, kun liitteeseen A tehdään pieni päivitys ISO 27002 2022 -version mukaiseksi.

Milloin ISO 27001 päivitetään?

ISO 27001:tä odotetaan laajalti tänä vuonna (lokakuussa 2022). Tämä päivämäärä on spekulatiivinen ja se on vahvistettava.

Vaikuttaako muihin 27000-standardeihin?

ISO/IEC 27002:2013 -versioon liittyvät ja/tai siihen perustuvat hallintajärjestelmästandardit ja -kehykset tuntevat muutoksen. Yleisesti käytetyt standardit ja puitteet, kuten ISO 27701 (yksityisyys), ISO 27017 (pilvipalvelut) ja ISO 27018 (pilvitietosuoja) odotetaan seuraavan, ja paikallisiin standardeihin ja kehyksiin voidaan odottaa lisävaikutuksia.

Oletko valmis muutoksiin?

Voit aloittaa organisaatiosi valmistelun hallintajärjestelmä DIS 27001 -versiota vastaan ​​(DIS tarkoittaa kansainvälisen standardin luonnosta) tai odota, kunnes tarkistettu standardi on lopullinen.

Joitakin vaiheita, jotka organisaatiosi voi tehdä valmistautuakseen tarkistettuun standardiin, ovat:

• Suorita nykyisten säätimiesi erojen analysointi uusiin säätimiin verrattuna.
• Suorita riskianalyysi päivitettyjen 27002 2022 -kontrollien mukaisesti.
• Karttaohjaukset liitteen B kautta standardien ISO 27002:2013 ja ISO 27002:2022 välillä.
• Ymmärrä, mitä säätimiä sovelletaan, ja päivitä tietoturva hallintajärjestelmä vastaavasti.
• Tee päivitykset soveltuvuusilmoitukseesi.
• Käy läpi tarkastus ja päivitys sisäinen tarkastus ohjelma tunnistaa tarvittavat päivitetyt säätimet.
• Varmista oma turvallisuusmittarit päivitetään uuden riskiarviosi mukaan ja hallintalaitteet.
• Päivitä ja tarkista standardit, menettelyt ja käytännöt ympäristösi muutosten mukaisesti.
• Päivitä organisaatiosi tiedot Riskinarviointi, kun päivität olemassa olevia säätimiäsi.
• Arvioi käyttämäsi kolmannen osapuolen työkalut tällä hetkellä vaatimustenmukaisuuden osoittamiseksi ja varmista, että ne tukevat uusia versioita.

Tämä auttaa sinua pääsemään pelin edelle uudelleensertifioinnissa tai lisälaitteiden hyväksymisessä ISO 27000 -perhe standardit/kehykset, esim. ISO 27018, 27017, 27032, joita odotetaan laajalti päivitettävän pian ISO 27001 2022 -tarkistuksen jälkeen.

Voiko ISMS.online auttaa siirtymään uuteen ISO 27002:2022 -versioon?

Kyllä me voimme. Jos olet jo asiakas, otamme sinuun pian yhteyttä ja kerromme siirtovaihtoehdoista. Jos et ole asiakas, meillä on useita vaihtoehtoja auttaaksemme sinua siirrä tietoturvan hallintajärjestelmäsi ISMS:ään verkossa.