Aktualizacja normy ISO 27001: Co się zmieniło i jak się do tego przygotować?
W dzisiejszym artykule skupimy się na temacie związanym z normą ISO 27001, ale naszym głównym celem będzie omówienie zmian, które zostały wprowadzone w jej najnowszej wersji w roku 2022. Po dziewięciu latach od poprzedniej aktualizacji, nowa wersja normy ISO 27001 wkracza na rynek, aby dostosować się do zmieniającej się rzeczywistości cyberbezpieczeństwa. Dowiedz się, co się zmieniło i jakie są nowe wymagania według tej aktualizowanej normy.
Zanim przejdziemy do konkretów, warto podkreślić, że norma ISO 27001 dotyczy zarządzania bezpieczeństwem informacji i jest jednym z kluczowych standardów w dziedzinie cyberbezpieczeństwa. Jest ona stosowana na całym świecie, aby pomóc organizacjom chronić swoje aktywa informacyjne i dane przed zagrożeniami związanymi z bezpieczeństwem informacji.
Dlaczego aktualizacja była potrzebna?
Jak już wspomniano, poprzednia aktualizacja normy ISO 27001 miała miejsce w 2013 roku. Ostatnia aktualizacja w roku 2022 była więc o wiele za późno w stosunku do tempa zmian w technologii i zagrożeń związanych z bezpieczeństwem informacji. W międzyczasie technologia, infrastruktura IT i sposoby ataków ewoluowały, co sprawiło, że norma musiała zostać dostosowana do nowych realiów.
Podejście oparte na ryzyku
Jednym z kluczowych aspektów normy ISO 27001 jest podejście oparte na ryzyku. Oznacza to, że organizacje powinny regularnie identyfikować ryzyka i zagrożenia związane z bezpieczeństwem informacji oraz wdrażać odpowiednie środki ochrony. To podejście pozwala na bardziej elastyczne i skuteczne zarządzanie bezpieczeństwem informacji.
Co się zmieniło?
W aktualizowanej wersji normy ISO 27001 z 2022 roku, nastąpiły trzy główne zmiany:
- Załącznik A: Jedną z kluczowych zmian jest rewizja załącznika A, który stanowił rozszerzenie normy ISO 27001 o wytyczne w zakresie zabezpieczeń. W poprzedniej wersji normy istniały 114 zabezpieczeń, a teraz zostało ich 93. Niektóre zabezpieczenia zostały skondensowane, a 11 nowych grup zabezpieczeń zostało dodanych. Te zmiany pozwalają na bardziej precyzyjne i aktualne określenie wymagań związanych z bezpieczeństwem informacji.
- Podział na grupy zabezpieczeń: Norma ISO 27001 z 2022 roku wprowadziła jasny podział na cztery grupy zabezpieczeń, które obejmują zabezpieczenia organizacyjne, zabezpieczenia osobowe, zabezpieczenia fizyczne i zabezpieczenia techniczne. Każda z tych grup zawiera konkretne zabezpieczenia, które organizacje powinny uwzględnić w swoich strategiach bezpieczeństwa.
- Nowe obszary bezpieczeństwa: Wraz z aktualizacją pojawiło się 11 nowych obszarów bezpieczeństwa, które nie były obecne w poprzednich wersjach normy. Są to m.in. analiza zagrożeń, bezpieczeństwo informacji w chmurze, gotowość teleinformatyczna do zapewnienia ciągłości działania, monitorowanie bezpieczeństwa fizycznego, zarządzanie konfiguracją, usuwanie informacji, maskowanie danych, zapobieganie wyciekom danych, działania monitorujące, filtrowanie sieci oraz bezpieczne kodowanie. Te nowe obszary odzwierciedlają zmieniające się trendy i technologie w dziedzinie bezpieczeństwa informacji.
Podsumowanie
Aktualizacja normy ISO 27001 w 2022 roku jest krokiem w dobrą stronę, dostosowującą standard do obecnych realiów cyberbezpieczeństwa. Jasny podział na grupy zabezpieczeń i dodanie nowych obszarów bezpieczeństwa sprawia, że norma jest bardziej zrozumiała i elastyczna. Dla organizacji, które rozważają wdrożenie systemu zarządzania bezpieczeństwem informacji, jest to doskonała okazja do dostosowania się do najnowszych standardów i zwiększenia swojego poziomu ochrony przed zagrożeniami związanymi z bezpieczeństwem informacji. Warto więc zwrócić uwagę na te zmiany i dostosować swoje strategie bezpieczeństwa do nowej wersji normy ISO 27001.
