Wersja 2022 normy dotyczącej systemów zarządzania bezpieczeństwem informacji (ISMS) umożliwia firmom lepsze zrozumienie aktualnego obrazu ryzyka i wdrożenie niezbędnych kontroli bezpieczeństwa.
Bezpieczeństwo informacji to temat coraz częściej pojawiający się w agendach większości firm. W związku z coraz częstszym stosowaniem technologii chmury i automatyzacji, sztucznej inteligencji, oraz zwiększonym naciskiem na cyberbezpieczeństwo, prywatność, czy potencjalne możliwości zastosowania złośliwego oprogramowania i oprogramowania typu ransomware, firmy są zmuszone do radzenia sobie z nowymi scenariuszami. Oznacza to konieczność ponownej oceny ich obecnego poziomu ryzyka i zarządzanie nowymi zagrożeniami w sposób aktywny i zorganizowany.
"Poprzednia wersja normy ukazała się w 2013 roku. Od tego czasu wiele na świecie się zmieniło. Nowa wersja jest jak najbardziej pożądana, ponieważ zapewnia niezbędne kontrole bezpieczeństwa i wskazówki, które pomogą firmom budować zaufanie do tego, jak działają w celu ochrony krytycznych aktywów biznesowych", mówi Nanda Kumar Shamanna, odpowiedzialna za usługi ICT w Business Assurance, DNV.
Główne zmiany w wersji 2022
Zmiany dotyczą głównie kontroli bezpieczeństwa informacji w załączniku A, przewidywanych przez publikację ISO/IEC 27002:2022 w lutym. Dodano 11 nowych punktów kontroli bezpieczeństwa, 58 zaktualizowano, a 24 połączono, aby odzwierciedlić nowe scenariusze, z którymi spotykają się firmy. Język kontroli został uaktualniony, a wytyczne w ISO/IEC 27002 poprawione tak, aby pomóc firmom w zarządzaniu ryzykiem, upewnieniu się, że nic nie zostało przeoczone i w prawidłowym funkcjonowaniu. Oprócz zmian w zakresie kontroli, ISO/IEC 27001 została również dostosowana do najnowszych aktualizacji zgodnie z koncepcją ISO - High Level Structure (HLS). Zmiany te są jednak uważane za niewielkie, ponieważ wydanie z 2013 roku było jednym z pierwszych standardów, które przyjęły HLS.
Główne obszary systemu zarządzania, na które mają wpływ te zmiany, to przywództwo, bezpieczeństwo korporacyjne, funkcja IT i inne funkcje wsparcia. W przypadku dostawców usług zmiany oddziałują również na obszar dostaw.
"Nowa wersja umożliwia skuteczniejsze zarządzanie ryzykiem dzięki zaktualizowanym kontrolom bezpieczeństwa. Zapewnia ona firmom ustrukturyzowane podejście do ponownej oceny aktualnego obrazu ryzyka i przywrócenia kontroli bezpieczeństwa" - mówi Nanda Kumar Shamanna.
Czas przejścia został ustalony na 3 lata, co oznacza, że istniejące certyfikaty muszą zostać przeniesione do nowej wersji przed listopadem 2025 roku.
