Skip to main content

ISO/IEC 27002 – Nová verze normy pro bezpečnost bude vydána v r. 2022

Norma ISO/IEC 27002 je mezinárodní norma používaná jako referenční dokument pro výběr a implementaci bezpečnostních opatření v informační a kybernetické bezpečnosti.

Kromě detailního popisu bezpečnostních opatření, které jsou uvedeny v příloze A normy ISO/IEC 27001, uvádí i osvědčené postupy pro zabezpečení informací, které mohou sloužit jako vodítko při výběru, implementaci a řízení informační a kybernetické bezpečnosti v organizacích.

Jaké budou změny v nové revizi normy ISO/IEC 27002 ve srovnání s verzí ISO/IEC 27002: 2013?

Především bezpečnostní opatření jsou přeskupeny do 4 kategorií namísto 14 kategorií, které se vyskytují v současné verzi 27002:2013. Následující tabulka ukazuje nové kategorie (domény):

5) Organizační opatření

6) Organizace informační bezpečnosti

7) Fyzická bezpečnost

8) Technologická bezpečnost

Vedle této změny se také snížil počet bezpečnostních opatření na 93 oproti 114 opatřením ve stávající normě. Do nového vydání normy se nedostaly následující opatření:

Čl.

Název opatření

5.1.2

Přezkoumání politik pro bezpečnost informací

6.2.1

Politika mobilních zařízení

8.1.2

Vlastnictví aktiv

8.2.3

Manipulace s aktivy

9.4.3

Systém správy hesel

11.1.6

Oblasti pro nakládku a vykládku

11.2.5

Přemístění aktiv

11.2.8

Neobsluhovaná uživatelská zařízení

12.4.2

Ochrana logů

12.6.2

Omezení instalace softwaru

13.2.3

Elektronické předávání zpráv

14.1.2

Zabezpečení aplikačních služeb ve veřejných sítích

14.1.3

Ochrana transakcí aplikačních služeb

14.2.9

Testování akceptace systému

16.1.3

Podávání zpráv o slabých místech bezpečnosti informací

18.2.3

Přezkoumání technického souladu

Na tomto místě je třeba zdůraznit, že opatření uváděna v příloze normy ISO/IEC 27001 a dále popsána v normě ISO/IEC 27002 jsou opatření, která je nutno vzít v úvahu při implementaci a provozu ISMS dle ISO/IEC 27001. Nad rámec těchto „povinných opatření, je možné doplnit další, specifická opatření pro danou organizaci nebo lze také využít dalších opatření uvedených v dalších, odvětvových normách.

Vedle normy ISO/IEC 27002, totiž existují tzv. odvětvové normy, které obsahují další bezpečnostní opatření, jenž lze právě použít pro řízení identifikovaných rizik, specifických pro konkrétní odvětví.

Jedná se např. o normu ISO/IEC 27017 pro cloudové služby, ISO/IEC 27701 pro ochranu soukromí, ISO/IEC 27019 pro energetiku, ISO/IEC 27011 pro telekomunikační organizace a ISO 27799 pro zdravotnické organizace.

Další podstatnou změnou je také rozdělení aktiv na primární aktiva a podpůrná aktiva.

Mezi primární aktiva řadí nová norma podnikové procesy a aktivity a informace, zatímco k podpůrným aktivům, na kterých jsou závislá primární aktiva, patří HW, SW, síťová infrastruktura, personál, organizační struktura, kanceláře a budovy apod.

Nově jsou do nové revize ISO/IEC 27002 zařazeny nové definice a pojmy, jako např.:

  • Přerušení provozu (disruptrion)
  • osobně identifikovatelné informace (personally identifiable information-PII)
  • dohlížitel PII (PII controller)
  • subjekt PII (PII príncipal)
  • hodnocení dopadů na ochranu osobních dat (privacy impact assessment-PIA)
  • RTO a RPO …atd.

Změn bude tedy celá řada a organizace by měly začít plánovat transformaci svých systémů informační bezpečnosti co nejdříve.

| Aktuality