27001 2022 blog

Alles wat u moet weet oor die ISO 27001: 2022-standaardopdatering

’n Nuwe en verbeterde weergawe van ISO/IEC 27001 is verlede week gepubliseer om groeiende globale kuberveiligheidsuitdagings aan te spreek en digitale vertroue te verbeter. Die wêreld se bekendste standaard oor inligtingsekuriteitbestuur help organisasies om hul inligtingsbates te beveilig – wat noodsaaklik is in vandag se toenemend digitale wêreld. 

As jy verantwoordelik is vir inligtingsekuriteit, vereis die nuwe ISO/IEC 27001: 2022-standaardopdatering van jou om die veranderinge te implementeer om te verseker dat jy aan die vereistes voldoen en jou infosec-houding in lyn bring met die digitalisering van besigheidspraktyke en gepaardgaande bedreigings. 

Wat het verander In Die ISO/IEC 27001: 2022-standaard  

Die goeie nuus is dat baie veranderinge redaksioneel is, byvoorbeeld deur deurgaans 'internasionale standaard' na 'dokument' te verander en frases te herrangskik om beter internasionale vertaling moontlik te maak. 

Daar is ook veranderinge om by die ISO-geharmoniseerde benadering te pas: 

  • Herstrukturering van nommering 
  • Die vereiste om prosesse te definieer wat nodig is vir die implementering van die ISMS en hul interaksies 
  • Die eksplisiete vereiste om organisatoriese rolle relevant tot inligtingsekuriteit binne die organisasie te kommunikeer 
  • Nuwe klousule 6.3 – Beplanning van veranderinge 
  • 'n Nuwe vereiste om te verseker dat die organisasie bepaal hoe om te kommunikeer as deel van klousule 7.4 
  • Nuwe vereistes om kriteria vir operasionele prosesse daar te stel en beheer van die prosesse te implementeer

Die kernveranderinge is egter van toepassing op opdaterings aan die huidige kontroles in Bylae A om die standaard beter in lyn te bring met die onlangse veranderinge aan ISO/IEC 27002 – Inligtingsekuriteit, kuberveiligheid en privaatheidbeskerming.

Die veranderinge aan ISO/IEC 27001: 2022 neem ook in ag dat risikobestuur toenemend oor meer organisatoriese funksies versprei. Daarom is die opdaterings bedoel om dit meer eenvoudig te maak vir meer mense om die behoorlike sekuriteitskontroles te karteer en te implementeer. 

Wat is Die Kernveranderinge aan aanhangsel A Kontroles in ISO/IEC 27001: 2022 

Die aantal kontroles het van 114 tot 93 verminder

Sommige kontroles is uitgevee, 24 kontroles is saamgevoeg en 58 is hersien. 11 nuwe sekuriteitskontroles is bygevoeg, ontwerp om die ontwikkelende inligtingsekuriteit en kuberveiligheidlandskap aan te spreek; hierdie is: 

A.5.7 Bedreigingsintelligensie  

A.5.23 Inligtingsekuriteit vir gebruik van wolkdienste  

A.5.30 IKT-gereedheid vir besigheidskontinuïteit  

A.7.4 Fisiese sekuriteitsmonitering  

A.8.9 Konfigurasiebestuur  

A.8.10 Skraping van inligting  

A.8.11 Datamaskering  

A.8.12 Voorkoming van datalekkasie  

A.8.16 Moniteringsaktiwiteite  

A.8.23 Webfiltrering  

A.8.28 Veilige kodering  

Gevolglik moet jy jou bestuurstelsel opdateer om enige bestaande ISMS te optimaliseer en beter in lyn te bring met die konteks van jou inligtingsekuriteitsrisiko's en jou organisasie. 

Die struktuur is in vier sleutelareas gekonsolideer

  • Organisatories 
  • Mense
  • Fisiese  
  • tegnologiese  

Dit staan ​​in kontras met die 14 areas wat die vorige weergawe van die standaard gevorm het.

Tabel van alle ISO 27001:2022 Bylae A-kontroles

In die tabel hieronder sal jy meer inligting oor elke individuele ISO 27001:2022 Bylae A Beheer vind.

ISO 27001:2022 Organisatoriese beheermaatreëls

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Organisatoriese kontrolesBylae A 5.1Bylae A 5.1.1
Bylae A 5.1.2
Beleide vir inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.2Bylae A 6.1.1Rolle en verantwoordelikhede vir inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.3Bylae A 6.1.2Skeiding van pligte
Organisatoriese kontrolesBylae A 5.4Bylae A 7.2.1Bestuursverantwoordelikhede
Organisatoriese kontrolesBylae A 5.5Bylae A 6.1.3Kontak met owerhede
Organisatoriese kontrolesBylae A 5.6Bylae A 6.1.4Kontak met spesiale belangegroepe
Organisatoriese kontrolesBylae A 5.7NUWEBedreiging Intelligensie
Organisatoriese kontrolesBylae A 5.8Bylae A 6.1.5
Bylae A 14.1.1
Inligtingsekuriteit in projekbestuur
Organisatoriese kontrolesBylae A 5.9Bylae A 8.1.1
Bylae A 8.1.2
Inventaris van inligting en ander geassosieerde bates
Organisatoriese kontrolesBylae A 5.10Bylae A 8.1.3
Bylae A 8.2.3
Aanvaarbare gebruik van inligting en ander geassosieerde bates
Organisatoriese kontrolesBylae A 5.11Bylae A 8.1.4Teruggawe van bates
Organisatoriese kontrolesBylae A 5.12Bylae A 8.2.1Klassifikasie van inligting
Organisatoriese kontrolesBylae A 5.13Bylae A 8.2.2Etikettering van inligting
Organisatoriese kontrolesBylae A 5.14Bylae A 13.2.1
Bylae A 13.2.2
Bylae A 13.2.3
Inligtingsoordrag
Organisatoriese kontrolesBylae A 5.15Bylae A 9.1.1
Bylae A 9.1.2
Toegangsbeheer
Organisatoriese kontrolesBylae A 5.16Bylae A 9.2.1Identiteitsbestuur
Organisatoriese kontrolesBylae A 5.17Bylae A 9.2.4
Bylae A 9.3.1
Bylae A 9.4.3
Verifikasie inligting
Organisatoriese kontrolesBylae A 5.18Bylae A 9.2.2
Bylae A 9.2.5
Bylae A 9.2.6
Toegangsregte
Organisatoriese kontrolesBylae A 5.19Bylae A 15.1.1Inligtingsekuriteit in Verskaffersverhoudings
Organisatoriese kontrolesBylae A 5.20Bylae A 15.1.2Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
Organisatoriese kontrolesBylae A 5.21Bylae A 15.1.3Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
Organisatoriese kontrolesBylae A 5.22Bylae A 15.2.1
Bylae A 15.2.2
Monitering, hersiening en veranderingsbestuur van verskafferdienste
Organisatoriese kontrolesBylae A 5.23NUWEInligtingsekuriteit vir gebruik van wolkdienste
Organisatoriese kontrolesBylae A 5.24Bylae A 16.1.1Beplanning en voorbereiding van inligtingsekuriteitsinsidentbestuur
Organisatoriese kontrolesBylae A 5.25Bylae A 16.1.4Assessering en besluit oor inligtingsekuriteitsgebeurtenisse
Organisatoriese kontrolesBylae A 5.26Bylae A 16.1.5Reaksie op inligtingsekuriteitsinsidente
Organisatoriese kontrolesBylae A 5.27Bylae A 16.1.6Leer uit inligtingsekuriteitsinsidente
Organisatoriese kontrolesBylae A 5.28Bylae A 16.1.7Versameling van bewyse
Organisatoriese kontrolesBylae A 5.29Bylae A 17.1.1
Bylae A 17.1.2
Bylae A 17.1.3
Inligtingsekuriteit tydens ontwrigting
Organisatoriese kontrolesBylae A 5.30NUWEIKT-gereedheid vir besigheidskontinuïteit
Organisatoriese kontrolesBylae A 5.31Bylae A 18.1.1
Bylae A 18.1.5
Wetlike, statutêre, regulatoriese en kontraktuele vereistes
Organisatoriese kontrolesBylae A 5.32Bylae A 18.1.2Intellektuele eiendomsregte
Organisatoriese kontrolesBylae A 5.33Bylae A 18.1.3Beskerming van rekords
Organisatoriese kontrolesBylae A 5.34 Bylae A 18.1.4Privaatheid en beskerming van PII
Organisatoriese kontrolesBylae A 5.35Bylae A 18.2.1Onafhanklike oorsig van inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.36Bylae A 18.2.2
Bylae A 18.2.3
Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.37Bylae A 12.1.1Gedokumenteerde bedryfsprosedures

ISO 27001:2022 Mensekontroles

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Mense beheerBylae A 6.1Bylae A 7.1.1Screening
Mense beheerBylae A 6.2Bylae A 7.1.2Terme en diensvoorwaardes
Mense beheerBylae A 6.3Bylae A 7.2.2Bewusmaking, onderwys en opleiding van inligtingsekuriteit
Mense beheerBylae A 6.4Bylae A 7.2.3Dissiplinêre Proses
Mense beheerBylae A 6.5Bylae A 7.3.1Verantwoordelikhede na beëindiging of verandering van diens
Mense beheerBylae A 6.6Bylae A 13.2.4Vertroulikheid of nie-openbaarmakingsooreenkomste
Mense beheerBylae A 6.7Bylae A 6.2.2Afstand werk
Mense beheerBylae A 6.8Bylae A 16.1.2
Bylae A 16.1.3
Rapportering van inligtingsekuriteitsgebeurtenisse

ISO 27001:2022 Fisiese kontroles

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Fisiese beheerBylae A 7.1Bylae A 11.1.1Fisiese sekuriteitsgrense
Fisiese beheerBylae A 7.2Bylae A 11.1.2
Bylae A 11.1.6
Fisiese toegang
Fisiese beheerBylae A 7.3Bylae A 11.1.3Beveiliging van kantore, kamers en fasiliteite
Fisiese beheerBylae A 7.4NUWEFisiese sekuriteitsmonitering
Fisiese beheerBylae A 7.5Bylae A 11.1.4Beskerming teen fisiese en omgewingsbedreigings
Fisiese beheerBylae A 7.6Bylae A 11.1.5Werk in veilige gebiede
Fisiese beheerBylae A 7.7Bylae A 11.2.9Duidelike lessenaar en duidelike skerm
Fisiese beheerBylae A 7.8Bylae A 11.2.1Toerustingopstelling en beskerming
Fisiese beheerBylae A 7.9Bylae A 11.2.6Sekuriteit van bates buite die perseel
Fisiese beheerBylae A 7.10Bylae A 8.3.1
Bylae A 8.3.2
Bylae A 8.3.3
Bylae A 11.2.5
Berging media
Fisiese beheerBylae A 7.11Bylae A 11.2.2Ondersteunende nutsprogramme
Fisiese beheerBylae A 7.12Bylae A 11.2.3Bekabeling sekuriteit
Fisiese beheerBylae A 7.13Bylae A 11.2.4Onderhoud van toerusting
Fisiese beheerBylae A 7.14Bylae A 11.2.7Veilige wegdoening of hergebruik van toerusting

ISO 27001:2022 Tegnologiese beheermaatreëls

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Tegnologiese kontrolesBylae A 8.1Bylae A 6.2.1
Bylae A 11.2.8
Gebruikerseindpunttoestelle
Tegnologiese kontrolesBylae A 8.2Bylae A 9.2.3Bevoorregte toegangsregte
Tegnologiese kontrolesBylae A 8.3Bylae A 9.4.1Inligtingtoegangbeperking
Tegnologiese kontrolesBylae A 8.4Bylae A 9.4.5Toegang tot bronkode
Tegnologiese kontrolesBylae A 8.5Bylae A 9.4.2Veilige verifikasie
Tegnologiese kontrolesBylae A 8.6Bylae A 12.1.3Kapasiteitsbestuur
Tegnologiese kontrolesBylae A 8.7Bylae A 12.2.1Beskerming teen wanware
Tegnologiese kontrolesBylae A 8.8Bylae A 12.6.1
Bylae A 18.2.3
Bestuur van Tegniese Kwesbaarhede
Tegnologiese kontrolesBylae A 8.9NUWEKonfigurasiebestuur
Tegnologiese kontrolesBylae A 8.10NUWEInligting skrap
Tegnologiese kontrolesBylae A 8.11NUWEDatamaskering
Tegnologiese kontrolesBylae A 8.12NUWEVoorkoming van datalekkasies
Tegnologiese kontrolesBylae A 8.13Bylae A 12.3.1Inligting rugsteun
Tegnologiese kontrolesBylae A 8.14Bylae A 17.2.1Oortolligheid van inligtingsverwerkingsfasiliteite
Tegnologiese kontrolesBylae A 8.15Bylae A 12.4.1
Bylae A 12.4.2
Bylae A 12.4.3
Logging
Tegnologiese kontrolesBylae A 8.16NUWEMoniteringsaktiwiteite
Tegnologiese kontrolesBylae A 8.17Bylae A 12.4.4Kloksynchronisasie
Tegnologiese kontrolesBylae A 8.18Bylae A 9.4.4Gebruik van bevoorregte nutsprogramme
Tegnologiese kontrolesBylae A 8.19Bylae A 12.5.1
Bylae A 12.6.2
Installering van sagteware op bedryfstelsels
Tegnologiese kontrolesBylae A 8.20Bylae A 13.1.1Netwerksekuriteit
Tegnologiese kontrolesBylae A 8.21Bylae A 13.1.2Sekuriteit van netwerkdienste
Tegnologiese kontrolesBylae A 8.22Bylae A 13.1.3Skeiding van netwerke
Tegnologiese kontrolesBylae A 8.23NUWEWebfiltrering
Tegnologiese kontrolesBylae A 8.24Bylae A 10.1.1
Bylae A 10.1.2
Gebruik van kriptografie
Tegnologiese kontrolesBylae A 8.25Bylae A 14.2.1Veilige ontwikkelingslewensiklus
Tegnologiese kontrolesBylae A 8.26Bylae A 14.1.2
Bylae A 14.1.3
Toepassingsekuriteitsvereistes
Tegnologiese kontrolesBylae A 8.27Bylae A 14.2.5Veilige stelselargitektuur en ingenieursbeginsels
Tegnologiese kontrolesBylae A 8.28NUWEVeilige kodering
Tegnologiese kontrolesBylae A 8.29Bylae A 14.2.8
Bylae A 14.2.9
Sekuriteitstoetsing in ontwikkeling en aanvaarding
Tegnologiese kontrolesBylae A 8.30Bylae A 14.2.7Uitgekontrakteerde Ontwikkeling
Tegnologiese kontrolesBylae A 8.31Bylae A 12.1.4
Bylae A 14.2.6
Skeiding van ontwikkeling-, toets- en produksie-omgewings
Tegnologiese kontrolesBylae A 8.32Bylae A 12.1.2
Bylae A 14.2.2
Bylae A 14.2.3
Bylae A 14.2.4
Veranderings bestuur
Tegnologiese kontrolesBylae A 8.33Bylae A 14.3.1Toets inligting
Tegnologiese kontrolesBylae A 8.34Bylae A 12.7.1Beskerming van inligtingstelsels tydens oudittoetsing

Die konsep van eienskappe is bekendgestel

In lyn met die algemene terminologie wat binne digitale sekuriteit gebruik word, is vyf eienskappe bekendgestel:  

  • Beheer tipe 
  • Inligting sekuriteit eienskappe 
  • Kuberveiligheidskonsepte 
  • Operasionele vermoëns 
  • Sekuriteitsdomeine

Dit behoort organisasies in staat te stel om hul huidige sekuriteitsposisie beter te verstaan ​​en die aanvaarding van sekuriteitspraktyke en -prosesse aan te moedig wat tot meer effektiewe sakebedrywighede sal lei. 

Bykomende leiding vir ISO/IEC 27001: 2022 

Laai ons nuttige 'Opsomming van veranderings'-werkblad af wat al die kritieke veranderinge aan kontroles vanaf die huidige weergawe uiteensit en 'n padkaart bied om ISO/IEC 27001: 2022 te bereik.  

Aflaai gids

Versterk vandag jou inligtingsekuriteitshouding 

Organisasies wat kuberveerkragtigheid aanneem, tree vinnig na vore as leiers in hul bedryf en behaal 'n mededingende voordeel. Die bygewerkte ISO/IEC 27001 verseker dat die hele organisasie gedek word, nie net jou infosec-span nie en ondersteun jou digitaliseringstrategie, verminder die risiko's van oortredings en bou vertroue in jou handelsmerk en jou organisasie se inligtingveerkragtigheid.  

Die ISMS.aanlyn-platform en -nutsgoed is gereed om jou nou te ondersteun, van om jou te help om die veranderinge te verstaan, om die impak op jou organisasie se sekuriteitsdoelwitte na te gaan, implementeringsleiding en die oorgang van jou sertifisering. Ontsluit vandag jou voldoeningsvoordeel!  

Boek 'n demo

Die stand van inligtingsekuriteitsverslag 2024 nou regstreeks - lees nou