Rok 2022 bude pro rodinu norem řady ISO/IEC 27000 klíčový. V únoru vyšla revidovaná norma ISO/IEC 27002:2022 a ISO 27001 ji bude následovat. Jaký je ale rozdíl mezi těmito dvěma normami? Nač jsou zaměřeny a proč by je měly organizace znát?
Co je ISO/IEC 27001?
Norma ISO/IEC 27001 (ČSN ISO/IEC 27001 (369790) Informační technologie – Bezpečnostní techniky – Systémy managementu bezpečnosti informací – Požadavky) specifikuje požadavky na sestavení, implementaci, provoz, monitorování, přezkoumání a zlepšování systému managementu informační bezpečnosti.
Cílem normy je systematicky zajistit, aby nedošlo k narušení informační bezpečnosti organizace a zamezit tak vážným finančním škodám nebo případným obtížím ztráty důvěryhodnosti organizace.
Tato mezinárodní norma byla připravena proto, aby poskytla podporu pro ustavení, zavádění, provozování, monitorování, udržování a zlepšování systému managementu bezpečnosti informací (Information Security Management System nebo ISMS).
Přijetí ISMS by mělo být strategickým rozhodnutím organizace. Návrh a zavedení ISMS v organizaci je podmíněno potřebami a cíli činností (business), požadavky na bezpečnost, dále pak používanými procesy a velikostí a strukturou organizace. Všechny tyto a jejich podpůrné systémy podléhají změnám v čase. Předpokládá se, že jednoduché situace vyžadují jednoduchá řešení ISMS.
Požadavky vymezené v této mezinárodní normě jsou obecné a jsou určeny pro všechny organizace bez rozdílu typu, velikosti nebo původu.
Nesplnění některého z požadavků vyjmenovaných v kapitolách 4 až 10 není akceptovatelné, pokud organizace konstatuje dosažení shody s touto mezinárodní normou.
Co je ISO/IEC 27002?
Norma ISO/IEC 27002 představuje seznam specifických požadavků na bezpečnost. Tato norma navrhuje a podrobně popisuje použití bezpečnostních kontrol v organizacích. Je složena ze specifických pokynů týkajících se vývoje standardů organizační bezpečnosti a účinných postupů řízení bezpečnosti, které pomáhají budovat důvěrnost v rámci organizačních činností.
Tato mezinárodní norma poskytuje návod na organizování informační bezpečnosti a zkušenosti na řízení informační bezpečnosti včetně výběru, zavedení a řízení opatření, která je třeba zohlednit v organizaci v prostředí bezpečnostních rizik.
Tato mezinárodní norma je vytvořena pro organizace, které mají zájem:
- vybrat opatření v rámci procesů zavedení řízení informační bezpečnosti podle normy ISO/IEC 27001;
- zavést obecně platná opatření informační bezpečnosti;
- vytvořit vlastní návody k řízení informační bezpečnosti.
Jaký je rozdíl mezi ISO/IEC 27001 a ISO/IEC 27002?
- ISO/IEC 27001 poskytuje požadavky pro organizace, které chtějí zavést, implementovat, udržovat a neustále zlepšovat systém řízení informační bezpečnosti.
- ISO/IEC 27002 je mezinárodní norma používaná jako pomůcka , podpora na usměrnění zavedení informační bezpečnosti. Je to implementační norma založená na návrzích a osvědčených postupech.
- V tomto ohledu je hlavní rozdíl v tom, že organizace mohou získat certifikaci podle ISO/IEC 27001 , zatímco nemohou získat certifikaci podle ISO/IEC 27002.
- ISO/IEC 27002 slouží jako podpůrný materiál při implementaci požadavků a kontrol ISO/IEC 27001.
Co se změnilo v ISO/IEC 27002:2022?
- 35 kontrol zůstalo stejných a spolu s novými kontrolami byly přesunuty do 4 sekcí;
- bylo přidáno 11 nových kontrol;
- 23 ovládacích prvků bylo přejmenováno , aby byly srozumitelnější
- I když se počet kontrol snížil (ze 114 na 93 ) nebyly vyloučeny žádné kontroly, jen se pospojovaly
- 57 kontrol bylo sloučeno do 24 kontrol;
- Kontrola 18.2.3 Přezkum technického souladu byl rozdělen na:
- 5.3.6 – Soulad s politikami, pravidly a standardy pro informační bezpečnost; /Compliance with policies, rules and standards for information security/
- 8.8 – Řízení technických zranitelností /Management of technical vulnerabilities/
Norma ISO/IEC 27002 obsahuje 4 hlavní kapitoly a dvě informativní přílohy.
Kapitoly 5 až 8 dělí 93 opatření bezpečnosti informací do 4 kategorií (viz níže). Informativní příloha A je věnována atributům opatření bezpečnosti informací a informativní příloha B mapuje novou a předchozí strukturu normy (oběma směry).