Informacje i dane to zdecydowanie najcenniejsze co ma każde przedsiębiorstwo bez względu na branżę czy obszar działania. Aby jednak chronić tego typu rzeczy, potrzebne są odpowiednie procedury i systemy. Niewątpliwie czymś takim są normy z rodziny 27000. Odpowiadają one między innymi za ustanowienie wymagań, które dane przedsiębiorstwo ubiegające się o wdrożenie międzynarodowego systemu zarządzania danymi musi spełnić. W ostatnim czasie pojawiły się jednak pewne zmiany we wcześniej wspomnianych normach, które postaram Ci się przedstawić. Jeśli więc ten temat Ciebie dotyczy, koniecznie czytaj ten wpis dalej!
Przełom i bałagan w systemie?
Wielu przedsiębiorców z pewnością już dziś boi się, że nowe wydanie normy 27001 zupełnie zburzy porządek w systemie zarządzania danymi i informacjami. Okazuje się jednak, że nowe wydanie normy 27001, a dokładniej 27001:2022 formalnie zostało zatwierdzone już 23 września 2022 roku. Z różnych źródeł wywnioskować można także, że najpóźniej w listopadzie tego samego roku możemy spodziewać się tak zwanego standardu. Z kolei kodeks postępowania dla wdrożeń systemu bezpieczeństwa informacji i danych został opublikowany w lutym 2022 roku w formie normy ISO/IEC 27002. Wszystkie zawarte tam wymagania są oczywiście uniwersalne i mogą być bez przeszkód stosowane we wszystkich przedsiębiorstwach oraz organizacjach, bez względu na ich obszar działania czy branżę, a także wielkość.
Zmiany, zmiany…
Jakie zmiany w normie 27001:2022 nas czekają? Ta główna dotyczy aktualizacji załącznika A. W jego przypadku zmiany są redakcyjne (punkt 6.1.3 c), punkt 6.1.3 d przeszedł z kolei przeorganizowanie. Inne zmiany dotyczą między innymi załącznika A standardu ISO/IEC 27001:2022. Restrukturyzacji i rozszerzeniu uległa lista omawianych w nim zabezpieczeń. Zamiast 114 jest ich obecnie 93, zostały przegrupowane 14 kategorii w 4 główne tematy
- organizacyjne (dotyczące m.in. polityki informacyjnej, korzystania z usług w chmurze),
- osobowe (odnoszące się np. do pracy zdalnej, zasad zachowania poufności),
- fizyczne (związane np. z nośnikami pamięci, zabezpieczaniem pomieszczeń),
- technologiczne (nawiązujące do takich kwestii, jak bezpiecznie uwierzytelnianie).
Aktualizację przeszły również Wszystkie zabezpieczenia z tego załącznika. Oznacza to, że 114 elementów zredukowano do 93, dodano 11 zupełnie nowych (dotyczących głównie bezpieczeństwa danych w chmurze i ochrony prywatności), takich jak:
- analiza zagrożeń,
- bezpieczeństwo informacji przy korzystaniu z usług w chmurze,
- gotowość teleinformatyczna do zapewnienia ciągłości działania,
- monitorowanie bezpieczeństwa fizycznego,
- zarządzanie konfiguracją,
- usuwanie informacji,
- maskowanie danych,
- zapobieganie wyciekom danych,
- działania monitorujące,
- filtrowanie stron internetowych,
- bezpieczne kodowanie.
24 zostały połączone, a pozostałe przeszły drobne przemiany i uaktualnienia.
Jak w przypadku każdej nowelizacji norm ISO organizacje mają trzy lata (do 31 października 2025 roku) na dostosowanie swoich systemów zarządzania do nowych wytycznych. Certyfikację ISO 27001 i tak należy co trzy lata powtarzać, więc nie ma potrzeby wcześniejszej wymiany dokumentu na certyfikat ISO 27001:2022. Warto jednak już teraz zaktualizować SZBI, aby dobrze przygotować się do najbliższego audytu ISO 27001:2022.