Revize norem 27001 a 27002

V současnosti probíhá proces revize standardů ISO/IEC 27001 a ISO/IEC 27002. Společný technický výbor Mezinárodní organizace pro normalizaci (ISO) a Mezinárodní elektrotechnické komise (IEC) mění celou strukturu kontrolního rámce ISO/IEC 27001/27002. Půjde tak o zcela nový pohled a požadavky na organizace, i specialisty informační a kybernetické bezpečnosti.

Hlavní změnou, kterou nová verze přináší je sloučení opatření do 4 skupin:

1. Organizační opatření

2. Personální opatření

3. Fyzická opatření

4. Technická opatření

Nových je i několik oblastí, pro které se bude vyžadovat řízení a opatření (v případě, že jsou v organizaci aplikovatelné), například:

  • Správa hrozeb (Informace související s hrozbami informační bezpečnosti by měly být shromažďovány a měly by se analyzovat, aby se vytvořila správa hrozeb.)
  • Informační bezpečnost při používání cloudových služeb (Procesy získávání, používání, správy a ukončení cloudových služeb by měly být vytvořeny v souladu s požadavky organizace na bezpečnost informací.)
  • Připravenost ICT na kontinuitu podnikání (Připravenost ICT by měla být plánovaná, implementována, udržována a testována na základě cílů kontinuity podnikání a požadavků na kontinuitu ICT.)
  • Řízení konfigurace (Konfigurace, včetně bezpečnostních konfigurací, hardwaru, softwaru, služeb a sítí, by měly být vytvořeny, zdokumentované, implementovány, monitorovány a přezkoumávány.)
  • Vymazání informace (Informace uložené v informačních systémech a zařízeních by měly být vymazány, pokud již nejsou potřebné.)
  • Maskování dat (Maskování údajů by mělo být používáno v souladu s politikou organizace zaměřenou na řízení přístupu a obchodními požadavky, se zohledněním legislativních požadavků.)
  • Prevence úniku dat (Na systémy, sítě a koncová zařízení, které zpracovávají, uchovávají nebo přenášejí citlivé informace, by měly aplikovat opatření k předcházení úniku dat.)
  • Monitorovací činnosti (V sítích, systémech a aplikacích by se mělo monitorovat neobvyklé chování a měla by být přijata vhodná opatření k vyhodnocení potenciálních incidentů bezpečnosti informací.)
  • Filtrování webu (Přístup k externím webovým stránkám by měl být řízen, aby se snížilo vystavení škodlivému obsahu.)

Zveřejnění nových standardů se předpokládá v průběhu roku 2022. Následně začne běžet přechodné období, které trvá obvykle kolem 2 let. Během tohoto období bude nutné, v případě že má vaše organizace certifikovaný systém informační bezpečnosti, implementovat nové požadavky. V případě jakýchkoliv dotazů se na nás obraťte, rádi Vám s přípravou na nové požadavky norem pomůžeme.

27001 BOZP Chemické látky a směsi Cloud Cloud computing Cloudové služby Elektřina Informační bezpečnost ISMS ISO ISPOP Klimatizace Kontrola Legislativa Možnosti Ochrana životního prostředí Označení OŽP Plyn Požadavky Provoz Revize Tlak UFI VTZ Vyhláška Vyhrazená technická zařízení Zdvih Způsobilost Školení

NAŠI ZÁKAZNÍCI