Změny v normě pro bezpečnost informací ve verzi z roku 2022 se týkají především kontrolních mechanismů, které pomáhají společnostem řešit měnící se bezpečnostní scénáře a související rizika.
Poslední aktualizace normy ISO/IEC 27002 proběhla v roce 2013 a s drobnými úpravami v roce 2017. Revize tedy měla být provedena již dávno. Dnešní bezpečnost informací, kybernetická bezpečnost a rizika pro soukromí se dramaticky změnila. Hrozby pro všechny společnosti zesílily a řízení bezpečnosti informací se stalo otázkou kontinuity a odolnosti podnikání. Útoky nebo narušení bezpečnosti mohou být v nejlepším případě nepříjemné, ale stále častěji se objevují případy, kdy jsou podniky vážně zasaženy, výroba je ztížena nebo zcela zastavena na několik dní či dokonce týdnů.
"Toto téma je do značné míry klíčové pro většinu firemních strategií a vedení. Zdá se, že ohroženi jsou všichni, ale mnozí nezavedli řádný a robustní systém pro identifikaci, řízení a zmírnění rizik v oblasti bezpečnosti informací. Aktualizovaná norma pomáhá společnostem řešit měnící se scénáře informační bezpečnosti," říká Nanda Kumar Shamanna, manažer ICT Business Assurance v DNV.
Nová verze se zabývá kontrolními mechanismy souvisejícími s digitálními a cloudovými technologiemi, které zahrnují hrozby pro kybernetickou bezpečnost a ochranu soukromí (například ransomware a malware). Norma byla také revidována, aby se zabývala dalšími bezpečnostními hledisky, a to prostřednictvím identifikace různých atributů.
Změny této doporučující normy budou mít dopad na certifikovatelnou normu ISO/IEC 27001. Očekává se, že revize normy ISO/IEC 27001 bude zveřejněna později v tomto roce, pravděpodobně v říjnu. Očekává se, že změny se budou týkat výhradně kontrol (příloha A). O časovém plánu přechodu bude rozhodnuto v rámci vydání normy ISO/IEC 27001:2022 později v tomto roce; s vydáním normy ISO/IEC 27002 je však možné zahájit přípravy.
Hlavní přínosy nové verze pro certifikované společnosti:
- Řeší nové scénáře a rizika;
- Pomáhá pochopit další bezpečnostní perspektivy;
- Zahrnuje aspekty kybernetické bezpečnosti a ochrany soukromí;
- Nové kontrolní mechanismy, které zajistí, že nové scénáře a rizika nebudou opomenuty.