Revize norem 27001 a 27002

V současnosti probíhá proces revize standardů ISO/IEC 27001 a ISO/IEC 27002. Společný technický výbor Mezinárodní organizace pro normalizaci (ISO) a Mezinárodní elektrotechnické komise (IEC) mění celou strukturu kontrolního rámce ISO/IEC 27001/27002. Půjde tak o zcela nový pohled a požadavky na organizace, i specialisty informační a kybernetické bezpečnosti.

Hlavní změnou, kterou nová verze přináší je sloučení opatření do 4 skupin:

1. Organizační opatření

2. Personální opatření

3. Fyzická opatření

4. Technická opatření

Nových je i několik oblastí, pro které se bude vyžadovat řízení a opatření (v případě, že jsou v organizaci aplikovatelné), například:

  • Správa hrozeb (Informace související s hrozbami informační bezpečnosti by měly být shromažďovány a měly by se analyzovat, aby se vytvořila správa hrozeb.)
  • Informační bezpečnost při používání cloudových služeb (Procesy získávání, používání, správy a ukončení cloudových služeb by měly být vytvořeny v souladu s požadavky organizace na bezpečnost informací.)
  • Připravenost ICT na kontinuitu podnikání (Připravenost ICT by měla být plánovaná, implementována, udržována a testována na základě cílů kontinuity podnikání a požadavků na kontinuitu ICT.)
  • Řízení konfigurace (Konfigurace, včetně bezpečnostních konfigurací, hardwaru, softwaru, služeb a sítí, by měly být vytvořeny, zdokumentované, implementovány, monitorovány a přezkoumávány.)
  • Vymazání informace (Informace uložené v informačních systémech a zařízeních by měly být vymazány, pokud již nejsou potřebné.)
  • Maskování dat (Maskování údajů by mělo být používáno v souladu s politikou organizace zaměřenou na řízení přístupu a obchodními požadavky, se zohledněním legislativních požadavků.)
  • Prevence úniku dat (Na systémy, sítě a koncová zařízení, které zpracovávají, uchovávají nebo přenášejí citlivé informace, by měly aplikovat opatření k předcházení úniku dat.)
  • Monitorovací činnosti (V sítích, systémech a aplikacích by se mělo monitorovat neobvyklé chování a měla by být přijata vhodná opatření k vyhodnocení potenciálních incidentů bezpečnosti informací.)
  • Filtrování webu (Přístup k externím webovým stránkám by měl být řízen, aby se snížilo vystavení škodlivému obsahu.)

Zveřejnění nových standardů se předpokládá v průběhu roku 2022. Následně začne běžet přechodné období, které trvá obvykle kolem 2 let. Během tohoto období bude nutné, v případě že má vaše organizace certifikovaný systém informační bezpečnosti, implementovat nové požadavky. V případě jakýchkoliv dotazů se na nás obraťte, rádi Vám s přípravou na nové požadavky norem pomůžeme.

NAŠI ZÁKAZNÍCI