Zmeny v norme pre bezpečnosť informácií vo verzii z roku 2022 sa týkajú predovšetkým kontrolných mechanizmov, ktoré pomáhajú spoločnostiam riešiť meniace sa bezpečnostné scenáre a súvisiace riziká.
Posledná aktualizácia normy ISO/IEC 27002 prebehla v roku 2013 a s drobnými úpravami v roku 2017. Revízia teda mala byť vykonaná už dávno. Dnešná bezpečnosť informácií, kybernetická bezpečnosť a riziká pre súkromie sa dramaticky zmenili. Hrozby pre všetky spoločnosti zosilneli a riadenie bezpečnosti informácií sa stalo otázkou kontinuity a odolnosti podnikania. Útoky alebo narušenie bezpečnosti môžu byť v najlepšom prípade nepríjemné, ale stále častejšie sa objavujú prípady, keď sú podniky vážne zasiahnuté, výroba je sťažená alebo úplne zastavená na niekoľko dní či dokonca týždňov.
"Táto téma je do značnej miery kľúčová pre väčšinu firemných stratégií a vedení. Zdá sa, že ohrození sú všetci, ale mnohí nezaviedli riadny a robustný systém pre identifikáciu, riadenie a zmiernenie rizík v oblasti bezpečnosti informácií. Aktualizovaná norma pomáha spoločnostiam riešiť meniace sa scenáre informačnej bezpečnosti," hovorí Nanda Kumar Shamanna, manažér ICT Business Assurance v DNV.
Nová verzia sa zaoberá kontrolnými mechanizmami súvisiacimi s digitálnymi a cloudovými technológiami, ktoré zahŕňajú hrozby pre kybernetickú bezpečnosť a ochranu súkromia (napríklad ransomware a malware). Norma bola tiež revidovaná, aby sa zaoberala ďalšími bezpečnostnými hľadiskami, a to prostredníctvom identifikácie rôznych atribútov.
Zmeny tejto odporúčacej normy budú mať vplyv na certifikovateľnú normu ISO/IEC 27001. Očakáva sa, že revízia normy ISO/IEC 27001 bude zverejnená neskôr v tomto roku, pravdepodobne v októbri. Očakáva sa, že zmeny sa budú týkať výhradne kontrol (príloha A). O časovom pláne prechodu bude rozhodnuté v rámci vydania normy ISO/IEC 27001:2022 neskôr v tomto roku; s vydaním normy ISO/IEC 27002 je však možné začať prípravy.
Hlavné prínosy novej verzie pre certifikované spoločnosti:
- Rieši nové scenáre a riziká;
- Pomáha pochopiť ďalšie bezpečnostné perspektívy;
- Zahŕňa aspekty kybernetickej bezpečnosti a ochrany súkromia;
- Nové kontrolné mechanizmy, ktoré zaistia, že nové scenáre a riziká nebudú opomenuté.