Jaké jsou změny a výhody nejnovější normy ISO/IEC 27001?

Vzhledem k tomu, že velká část moderního podnikání a obchodu se odehrává v digitální podobě, musí být informace, data a kybernetická bezpečnost vždy na předních místech seznamu priorit managementu. Problematika kybernetických hrozeb a útoků byla v posledních měsících sice vytlačena z titulních stránek novin otázkami energetických nákladů a bezpečnosti, ale kybernetická hrozba rozhodně nezmizela a možná dokonce vzrostla.

Vydání nejnovější verze normy ISO/IEC 27001 dne 25. října nám proto připomíná, že všechny společnosti jsou stále více vystaveny rizikům v oblasti informační bezpečnosti. ISO/IEC 27001 je mezinárodně uznávaná norma pro systémy řízení informační bezpečnosti (ISMS), která pomáhá společnostem proaktivně spravovat a chránit jejich informační aktiva a řídit a zmírňovat bezpečnostní události. Pomáhá také řešit dodržování předpisů a splňovat požadavky zákazníků.

Porušení bezpečnosti a kybernetické útoky mohou mít za následek značné ztráty a poškození reputace. Aby se tomu zabránilo, musí organizace řídit současné hrozby a v případě potřeby snižovat rizika. To pomůže budovat důvěru zainteresovaných stran a zajistí minimalizaci rizika finančních ztrát a narušení činnosti.  Zavedení robustního, strukturovaného rámce pro identifikaci, řízení a zmírňování rizik povede k neustálému zlepšování a posílení kontinuity podnikání.

Norma ISO/IEC 27001 je navržena tak, aby byla kompatibilní a harmonizovaná s dalšími uznávanými normami ISO pro systémy řízení. Poslední významná revize normy proběhla v roce 2013.  Proto bylo považováno za nezbytné aktualizovat normu, včetně kontrol informační bezpečnosti definovaných v normě ISO/IEC 27002, tak, aby odpovídala scénářům kybernetických útoků a narušení bezpečnosti dat, které se mezitím vyvinuly.

Organizace certifikované podle aktuální verze normy ISO 27001 z roku 2013 budou mít tři roky na přechod na novou verzi. To znamená, že jejich současný systém ISMS musí splňovat nové požadavky do listopadu 2025. Pro organizace, které ještě nejsou certifikovány, by bylo nejlepší usilovat o certifikaci podle nové normy okamžitě.

Hlavní změny, které přináší nejnovější verze normy ISO/IEC 27001...

Struktura nové verze je identická se strukturou předchozí verze, ale odráží koncepty kybernetické bezpečnosti a bezpečnosti dat. Na první pohled je zřejmé, že změny se týkají téměř výhradně revidovaného souboru kontrolních mechanismů z normy ISO/IEC 27002. Tyto mechanismy jsou uvedeny v příloze A normy ISO/IEC 27001. Příloha A stanoví kontrolní mechanismy informační bezpečnosti pro systém řízení informační bezpečnosti založený na normě ISO/IEC 27001. Celkový počet kontrolních mechanismů byl revidován ze 114 na 93. Bylo přidáno 11 nových kontrolních opatření, 58 bylo aktualizováno a 24 sloučeno, aby se zjednodušila a lépe odrážela nová scénáře, kterým společnosti čelí. Kontrolní opatření byla reorganizována do 4 „témat“: organizační, lidské, fyzické a technologické. Pro uživatele a implementátory poskytuje norma ISO/IEC 27002 také užitečné aktualizace v části pokynů pro kontrolní opatření, včetně dalších příkladů.

11 nových ovládacích prvků je:

Kromě kontrolních mechanismů došlo k několika drobným změnám, které jsou v souladu s nejnovějšími aktualizacemi struktury ISO High Level Structure (HLS). Hlavní oblasti systému řízení, kterých se tyto změny týkají, jsou vedení, bezpečnost podniku, IT funkce a další podpůrné funkce. U poskytovatelů služeb se změny dotýkají také poskytování služeb. Nová verze umožňuje efektivnější řízení rizik díky aktualizovaným bezpečnostním kontrolám.

…a výhody

Hlavní výhody nové verze lze shrnout takto:

• Umožňuje efektivnější řízení rizik, protože bezpečnostní kontroly v příloze A byly vylepšeny tak, aby odrážely aktuální scénáře, kterým musí společnosti čelit.
• Pomáhá společnostem přehodnotit jejich rizika a hrozby a zavést bezpečnostní kontroly odpovídající kontextu neustále se zvyšující propojenosti, cloudových a automatizačních technologií, malwaru a ransomwaru a dalších zranitelností.
• Rozšiřuje se o kybernetickou bezpečnost a ochranu soukromí, čímž lépe propojuje systém řízení bezpečnosti informací s těmito kritickými otázkami, kterým musí společnosti čelit.
• Poskytuje lepší strukturu a prezentaci kontrolních opatření v příloze A a používá jasnější a jednodušší jazyk.

Výhody systému řízení a certifikace ISO/IEC 27001 se nezměnily, avšak nová verze umožňuje společnostem lépe porozumět novým rizikům a hrozbám v jejich obchodním kontextu, lépe je řídit a zmírňovat. Bez ohledu na to, zda organizace přechází na novou normu nebo se na certifikaci podle ní připravuje, společnost DNV může poskytnout všechny služby a školení v oblasti informační bezpečnosti, aby byl proces úspěšně dokončen.