Aktualizace normy ISO 27001 – Informační bezpečnost
Bez výměny dat prostřednictvím informačních technologií bychom se už těžko obešli. Proto se jejich ochrana před kybernetickými hrozbami a budování odolnosti stává nezbytností pro podniky všech velikostí a zaměření.
S tím může pomoci Systém řízení bezpečnosti informací – ISMS (Information Security Management System) dle norem řady ISO 27000.
Máte zaveden nebo o zavedení uvažujete?
Pak byste měli vědět, že vloni byl aktualizován nejen standard ISO/IEC 27002, o čemž jsme už psali zde , ale došlo i na ISO/IEC 27001. Norma ISO/IEC 27001 je hlavní mezinárodní normou pro Systém řízení bezpečnosti informací (ISMS), a tedy i pro kybernetickou bezpečnost. Její loňská revize nahrazuje normu ISO/IEC 27001:2013 a přináší opatření pro bezpečnost IT, ochranu dat či bezpečnost cloudů.
Transpozice normy ISO/IEC 27001:2022 do českého prostředí vyšla letos v říjnu pod označením ČSN EN ISO/IEC 27001:2023 .
Aktualizace normy si klade za cíl pomáhat organizacím řídit kontrolní mechanismy tím, že je po vzoru ISO/IEC 27002 seskupuje do 4 kategorií místo původních 14 – organizační, personální, technologické a fyzické bezpečnosti.
Nejdůležitější změny se týkají přílohy A, která je vybavena 11 novými opařeními, přičemž jejich celkový počet klesl ze 114 na 93 (některé byly sloučeny, další aktualizovány). Kromě toho byla revidována struktura opatření, která zavádí „atribut“ a „účel“ pro každé opatření a již nepoužívá „cíl“ pro skupinu opatření.
Přechodové období je tříleté, zbývá čas do 31. 10. 2025. Od 1. 11. 2025 budou certifikáty dle ISO/IEC 27001:2013 neplatné.
Nová verze normy 27001
První změnou je úprava názvu normy „Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí – Systémy managementu informační bezpečnosti – Požadavky“ (information security, cybersecurity and privacy protection – Information security management systems – Requirements). Norma specifikuje požadavky na sestavení, implementaci, provoz, monitorování, přezkoumání a zlepšování systému managementu informační bezpečnosti.
Nová verze je jednou z prvních norem systému managementu, kde došlo k nahrazení předchozí struktury vysoké úrovně harmonizovanou strukturou , která slouží jako základní struktura a vzor pro vývoj a revize nově vznikajících norem systému managementu.
Norma vyžaduje, aby změny v ISMS byly prováděny plánovaným způsobem. Očekává se, že proces změn souvisejících s ISMS byl zvládnut. Dále bude potřeba identifikovat potřebné procesy a jejich interakce v rámci ISMS, které jsou potřebné k jeho implementaci a údržbě. Systém řízení informační bezpečnosti musí být založen na zavedených, sledovatelných procesech a jejich interakcí. Na základě těchto procesů jsou pak navrženy a přizpůsobeny kontroly bezpečnosti informací dle přílohy A.
Největší změny zaznamenala příloha A, která byla kompletně revidována. Počet opatření se snížil na 93 (místo původních 114) a nově jsou jen 4 sekce (místo původních 14).
Seznam opatření je odvozen z normy ISO/IEC 27002:2022. 35 opatření zůstalo bez změny, 23 bylo přejmenováno, 57 sloučeno do 24 opatření a přibylo 11 nových:
- Informační bezpečnost při využívání cloudových služeb
- Připravenost ICT na kontinuitu podnikání
- Zpravodajství o hrozbách
- Monitorovací fyzické bezpečnosti
- Maskování údajů
- Správa konfigurace
- Vymazání informací
- Zabránění úniku údajů
- Monitorovací činnosti
- Filtrování webu
- Bezpečné kódování
Příloha A normy ISO/IEC 27001:2022 se omezuje na pojmenování kontrolních mechanismů, zatímco implementační příručka ISO/IEC 27002:2022 poskytuje další možnosti jejich kategorizace, kde se ke každému opatření vztahuje pět skupin atributů, které usnadňují jejich kagegorizaci. Atributy lze použít k filtrování, třídění nebo zobrazení pro různé organizační pohledy.
Jedno opatření může mít přiřazeno více atributů ze stejné skupiny:
- Typ opatření – preventivní, detektivní, nápravné
- Vlastnosti informační bezpečnosti – důvěrnost, integrita, dostupnost
- Koncepty kybernetické bezpečnosti – identifikace, ochrana, detekce, reakce, obnova
- Operační schopnosti – řízení, správa aktiv, ochrana informací, administrativní/personální/fyzická/technická bezpečnost
- Oblasti bezpečnosti – správa a ekosystém, ochrana, obrana, odolnost
Jak přejít na novou normu
Potřebujete pomoct s přechodem na novou normu? Nabízíme přehled základních kroků, které je potřeba udělat:
- Seznamte se se zněním norem ISO/IEC 27001:2022 a ISO/IEC 27002:2022.
- Proveďte analýzu rizik s ohledem na nová opatření a rozdělení aktiv.
- Realizujte opatření, která vyplynula z analýzy rizik a implementujte je do procesů ISMS.
- Implementujte nová opatření do provozní dokumentace.
- Aktualizujte Prohlášení o aplikovatelnosti (PoA).
- S ohledem na nová opatření proveďte interní audit.
- Proveďte přezkoumání managementu.
Jak bylo uvedeno v úvodu, běží tříleté přechodové období.
U nově certifikovaných organizací budou certifikační audity prováděny dle nové normy ISO/IEC 27001:2022 od 1. 1. 2024.
Od 1. 11. 2025 se budou všechny audity provádět pouze podle nové normy a certifikáty dle ISO/IEC 27001:2013 nebudou po tomto datu nadále platné. Tedy nejpozději k tomuto datu musí v rámci plánovaných auditů dojít k přechodu na novou verzi.