iso 27002 2022 hersienings

ISO 27002:2022 Veranderinge, opdaterings en vergelyking

ISO / IEC 27002 is hersien om die inligtingsekuriteitskontroles by te werk om ontwikkelings en huidige inligtingsekuriteitspraktyke in verskeie sektore van besighede en regerings te weerspieël.

In hierdie pos sal ons die belangrikste veranderinge aan die standaard verduidelik en hoe u dit suksesvol kan benader.

Daar is 'n groot aantal standaarde en ander soortgelyke sekuriteitsraamwerke wat verband hou met of gebaseer is op ISO 27002:2013. Die verandering van hierdie standaard na 'n nuwe weergawe sal hulle beïnvloed.

Kry 'n voorsprong op ISO 27002
  • Alles opgedateer met die 2022-kontrolestel
  • Maak tot 81% vordering vanaf die oomblik wat jy aanmeld
  • Eenvoudig en maklik om te gebruik

Bespreek jou demo

ISO 27002 2013 oorspronklike omvang

Die primêre doel van ISO 27002:2013 was om 'n omvattende inligtingsekuriteit- en batebestuursprogram te verskaf vir enige organisasie wat óf 'n nuwe inligtingsekuriteitbestuursprogram benodig óf sy bestaande inligtingsekuriteitsbeleide en -praktyke wou verbeter. Die praktykkode het die aanbevelings vir bestuur van inligtingsekuriteit aan diegene wat verantwoordelik is vir die inisieer, implementering en instandhouding van inligtingsekuriteit in 'n organisasie.

Wat het verander in ISO 27002 2022?

In ISO 27002:2022 is die naam van die standaard verander. In plaas van "Inligtingstegnologie – Sekuriteitstegnieke – Praktykkode vir inligtingsekuriteitskontroles”, die naam is nou “Inligtingsekuriteit, Kubersekuriteit en privaatheidbeskerming – Inligtingsekuriteitskontroles” in die 2022-hersiening.

Veranderinge in die voldoeningslandskap, bv. regulasies soos GDPR (Algemene Databeskermingsregulasie), POPIA (Wet op die Beskerming van Persoonlike Inligting), APP's (Australiese Privaatheidsbeginsels), die ontwikkelende besigheidskontinuïteit, kuberrisiko's en voldoeningsuitdagings wat organisasies regoor die wêreld in die gesig staar en die bekendstelling van ISO 27701 het gelei tot 'n behoefte aan ISO 27002 om die omvang te verbreed van sy kontroles vanaf sy oorspronklike inligtingsekuriteitsfokus, om rekening te hou met kubersekuriteit en inligtingprivaatheid en kwesbaarheidsbestuur.

Die ISO-organisasie hoop om die voorneme te verbeter deur 'n verwysingstel vir inligting-sekuriteit beheerdoelwitte vir gebruik in konteksspesifieke inligtingsekuriteit, privaatheid en kubersekuriteitrisikobestuur.

Wanneer het dit regstreeks gegaan?

Die nuwe ISO 27002 2022-hersiening is op 15 Februarie 2022 gepubliseer.

Interpreteer die veranderinge

Ons eerste indruk van die hersiene standaard is dat dit 'n meer eenvoudige struktuur bied wat deur 'n organisasie toegepas kan word en nou ook gebruik kan word om 'n breër risikoprofiel te bestuur. Dit kan inligting insluit sekuriteit en die meer tegniese aspekte van fisiese sekuriteit, batebestuur, kubersekuriteit en die menslike hulpbron-sekuriteitselemente wat met privaatheidsbeskerming gepaard gaan.

Die eerste beduidende verandering aan die standaard is om weg te beweeg van 'n "Code of Practice" en dit te posisioneer as 'n stel kontroles wat óf kan alleen staan of bestaan ​​as deel van 'n ISO 27001 inligtingsekuriteitbestuurstelsel.

Wat het verander?

Die aantal kontroles in die nuwe weergawe ISO 27002 2022 het afgeneem van 114 kontroles in 14 klousules in die 2013-uitgawe tot 93 kontroles in die 2022-uitgawe. Hierdie kontroles word nou gekategoriseer in vier kontrole "temas", wat "Organisatoriese kontroles", "Mense kontroles", "Fisiese kontroles" en "Tegnologiese kontroles."

Wat is 'n kontrole?

'n "Beheer" word gedefinieer as 'n maatstaf wat risiko wysig of in stand hou. An inligtingsekuriteitsbeleid, byvoorbeeld, kan net risiko handhaaf, terwyl voldoening aan die inligtingsekuriteitsbeleid risiko kan verander. Boonop beskryf sommige beheermaatreëls dieselfde generiese maatstaf in verskillende risikokontekste.

Beheerleiding

Die riglyne-afdeling vir elke kontrole is hersien en bygewerk (waar nodig) om huidige ontwikkelings en praktyke te weerspieël. Daarbenewens is elke kontrole nou toegerus met 'n 'Doel'-stelling en 'n stel "kenmerke" om ook verband te hou met kuberveiligheidskonsepte en ander beste sekuriteitspraktyke.

Watter kontroles het verander?

Binne die 93 kontroles (en in vergelyking met die 2013-uitgawe), is 11 kontroles nuut, 24 is saamgevoeg en 58 is opgedateer (hoofsaaklik vir die riglyne-afdeling).

Die beheerstelle is nou in vier (4) kategorieë of temas georganiseer in plaas van veertien (14) beheerdomeine. Die vier kategorieë sluit in:

  • Organisatories

  • Mense

  • Fisiese

  • tegnologiese

Die totale kontroletelling is verminder—daar is 21 minder kontroles in die nuwe weergawe van ISO 27002:2022.

'n Daadwerklike poging is aangewend om beheeroortolligheid te vermy. Die 2022-weergawe bevat 24 kontroles wat van die 2013-weergawe saamgevoeg is.

Die standaard het nou 11 nuwe kontroles om die huidige inligtingsekuriteit te weerspieël, fisiese sekuriteit en kuberveiligheid landskap.

Die beheerdoelwit vir 'n groep kontroles is vervang deur 'n "doel"-element in die 2022-weergawe.

Om die risikoversagting, assessering en behandelingsproses te verbeter, is die konsep van "kenmerke aan beheermaatreëls" bekendgestel. Boonop sal jy verskillende sienings van kontroles kan skep – dit wil sê kategorisering van kontroles vanuit 'n ander perspektief as die beheertemas.

Nuwe kontroles

Die omvang van ISO/IEC 27002:2022 lys nou 11 nuwe kontroles. Hierdie is:

  1. Bedreigingsintelligensie – verstaan ​​aanvallers en hul metodes in die konteks van jou IT-landskap.

  2. Inligtingsekuriteit vir die gebruik van wolkdienste – die inleiding deur bedryf tot uitgang-strategie rakende wolkinisiatiewe moet nou omvattend oorweeg word.

  3. IKT-gereedheid vir besigheidskontinuïteit – die vereistes vir die IT-landskap moet afgelei word van die algehele besigheidsprosesse en die vermoë om operasionele vermoëns te herstel.

  4. Fisiese sekuriteitsmonitering – die gebruik van alarm- en moniteringstelsels om ongemagtigde fisiese toegang te voorkom, het meer klem gekry.

  5. opset bestuur – verharding en veilige konfigurasie van IT-stelsels.

  6. Inligtingskraping – voldoening aan eksterne vereistes, soos databeskermingskrapkonsepte, moet geïmplementeer word.

  7. Datamaskering – gebruik tegnieke wat data masker, soos anonimisering en pseudonimisering, om jou databeskerming te versterk.

  8. Voorkoming van datalek – stappe neem om te voorkom dat sensitiewe data uitgelek word.

  9. Monitering van aktiwiteite – jou organisasie moet netwerksekuriteit monitor en toepassingsgedrag om enige netwerkafwykings op te spoor.

  10. Webfiltrering – help om te verhoed dat gebruikers spesifieke URL's wat kwaadwillige kode bevat, bekyk.

  11. Veilige kodering – die gebruik van gereedskap, kommentaar te lewer, veranderinge op te spoor en onveilige programmeringsmetodes te vermy, is maniere om veilige kodering te verseker.

Dit gee ons:

  • 93 kontroles in die nuwe weergawe van 27002.

  • 11 kontroles is nuut.

  • Altesaam 24 kontroles is saamgevoeg uit twee, drie of meer kontroles vanaf die 2013-weergawe; en

  • 58 kontroles van die 2013-weergawe is hersien en hersien om in lyn te kom met die huidige omgewing vir inligting sekuriteit en kuberveiligheid.

  • Bylae A, wat sluit leiding vir die toepassing van eienskappe in, en

  • Bylae B, wat ooreenstem met ISO/IEC 27001 2013. Dit is basies twee tabelle tabel wat kontrolenommers/identifiseerders kruisverwys vir maklike verwysing met besonderhede oor wat nuut is en wat saamgesmelt het.

Wat IS eienskappe

Die nuwe weergawe van ISO-standaard 27002 stel 'n kenmerke-afdeling aan elke beheer bekend. Eienskappe is 'n manier om kontroles te kategoriseer. Dit laat jou toe om jou beheerkeuse vinnig in lyn te bring met algemene bedryfstaal en -standaarde. Hierdie eienskappe identifiseer sleutelpunte:

  • Beheer tipe

  • InfoSec eienskappe

  • cyber Security konsepte

  • Operasionele vermoëns

  • Sekuriteitsdomeine

Die gebruik van eienskappe ondersteun werk wat baie maatskappye reeds doen binne hul risikobepaling en verklaring van toepaslikheid (SOA).

Byvoorbeeld, die Kuberveiligheidskonsepte van NIST en GOS-kontroles kan duidelik onderskei word, en die operasionele vermoëns wat met ander standaarde verband hou, kan erken word.

Hoe raak dit jou?

Die ISO 27002 2022-hersiening sal 'n organisasie soos volg beïnvloed:

  • As jy reeds ISO 27001 2013 gesertifiseer is

  • Is jy middel-sertifisering

  • As jy op die punt is om weer te sertifiseer

ISO 27001-sertifisering duur vir drie jaar. As jou organisasie reeds gesertifiseer is, hoef jy niks nou te doen nie, die hersiene ISO 27002 2022-standaard sal by hernuwing/hersertifisering van toepassing wees. Dit is dus vanselfsprekend dat alle gesertifiseerde organisasies op 'n stadium vir die hersiene standaard sal moet voorberei.

Hoe beïnvloed dit jou (her)sertifisering

Gestel 'n organisasie is tans in die proses van ISO 27001 2013-sertifisering of hersertifisering. In daardie geval sal daar van hulle verwag word om hul risiko-evaluering te hersien en die nuwe beheermaatreëls as toepaslik te identifiseer en hul Verklaring van toepaslikheid' deur die hersiene Bylae A-kontroles te vergelyk. Aangesien daar 'n paar nuwe kontroles en gewysigde of bykomende leiding tot ander kontroles is, moet organisasies die hersiene ISO 27002 hersien vir enige implementeringsveranderinge.

Alhoewel ISO 27001-hersiening 2022 nog gepubliseer moet word, karteer Bylae B van ISO 27002 kontroles tussen die 2013- en 2022-weergawes van die standaard.

Jou verklaring van toepaslikheid (SOA) moet steeds verwys na Bylae A van ISO 27001, terwyl die kontroles moet verwys na die ISO 27002:2022 hersiene standaard, wat 'n alternatiewe beheerstel sal wees.

Moet jy jou dokumentasie wysig

Om aan hierdie veranderinge te voldoen, moet die volgende insluit:

  • 'n Opdatering vir jou risiko behandeling proses met opgedateerde kontroles

  • 'n Opdatering van jou Verklaring van Toepaslikheid

  • Werk jou huidige beleide en prosedures op met leiding teen elke beheer waar nodig.

Laai ons gratis gids vir vinnige en volhoubare sertifisering af

cta beeld

Hoe raak dit ISO 27001 2013

Totdat 'n nuwe ISO 27001 2022-standaard gepubliseer word, sal die huidige ISO-sertifiseringskemas voortgaan, alhoewel kartering na die nuwe ISO 27002 2022-kontroles vereis sal word via Bylae B & B1.2.

Komende veranderinge aan ISO 27001

Die meeste mense wat inligtingsekuriteit volg, verwag dat die ISO 27001-veranderinge geringe tekstuele veranderinge sal wees met 'n geringe opdatering van Bylae A om in lyn te kom met die ISO 27002 2022-hersiening.

Wanneer sal ISO 27001 opgedateer word?

ISO 27001 word vanjaar (Oktober 2022) algemeen verwag. Hierdie datum is spekulatief en moet bevestig word.

Word enige ander 27000-standaarde geraak?

Bestuurstelselstandaarde en -raamwerke wat verband hou met en/of gebaseer op die ISO/IEC 27002:2013-weergawe sal die verandering voel. Algemeen gebruikte standaarde en raamwerke soos ISO 27701 (privaatheid), ISO 27017 (wolkdienste) en ISO 27018 (wolkprivaatheid) sal na verwagting volg, en 'n verdere impak kan verwag word vir plaaslike standaarde en raamwerke.

Is jy gereed vir die veranderinge?

Jy kan begin om jou organisasie s'n voor te berei bestuurstelsel teen die DIS 27001-weergawe (DIS wat Konsep Internasionale Standaard beteken) of wag totdat die hersiene standaard finaal gemaak is.

Sommige stappe wat jou organisasie kan neem om voor te berei vir die hersiene standaard is:

  • Voltooi 'n gapingsanalise van jou huidige kontroles teenoor die nuwe kontroles.

  • Voer 'n risiko-analise uit in ooreenstemming met die opgedateerde 27002 2022-kontroles.

  • Kaartkontroles via aanhangsel B tussen ISO 27002:2013 en ISO 27002:2022.

  • Verstaan ​​watter kontroles van toepassing is en werk jou op inligting-sekuriteit bestuurstelsel dienooreenkomstig.

  • Voer opdaterings aan jou Verklaring van Toepaslikheid uit.

  • Ondergaan 'n hersiening en opdatering van jou interne Oudit program om die opgedateerde kontroles wat benodig word, te identifiseer.

  • Verseker u sekuriteitsmaatstawwe word opgedateer volgens u nuwe risikobepaling en kontroles.

  • Werk standaarde, prosedures en beleide op en hersien volgens veranderinge in jou omgewing.

  • Neem stappe om jou organisasie s'n op te dateer Risiko-assessering, aangesien jy jou bestaande kontroles gaan opdateer.

  • Evalueer enige derdeparty-nutsgoed wat jy gebruik om tans voldoening te demonstreer om te verseker dat hulle die nuwe hersienings kan ondersteun.

Dit sal jou help om voor die spel te kom vir hersertifisering of aanvaarding van bykomende ISO 27000 familie standaarde/raamwerke, bv. ISO 27018, 27017, 27032, wat wyd na verwagting opgedateer sal word kort na die ISO 27001 2022-hersiening.

Kan ISMS.online jou help om na die nuwe ISO 27002:2022-hersiening oor te skakel?

Ja ons kan. As jy reeds 'n kliënt is, sal ons binnekort na jou uitreik met 'n stel migrasie-opsies. As jy nie 'n kliënt is nie, het ons 'n reeks opsies om jou te help migreer jou inligtingsekuriteitbestuurstelsel na ISMS aanlyn.

Gereed om aksie te neem?

Bespreek jou demo

cta beeld

Laas geredigeer: 30 Junie 2022
skrywer

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Bekyk alle plasings deur Max Edwards

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind