Τον επόμενο Οκτώβριο αναμένεται η νέα έκδοση του προτύπου ISO 27001

Η νέα έκδοση θα είναι ευθυγραμμισμένη με το ISO 27002:2022, το οποίο εκδόθηκε τον Φεβρουάριο του 2022, όσον αφορά τα μέτρα ελέγχου που καλούνται να υλοποιήσουν οι οργανισμοί που θέλουν να αναπτύξουν και να εφαρμόσουν Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών κατά το συγκεκριμένο πρότυπο. Ολοκληρώνεται με τον τρόπο αυτό ο  κύκλος επικαιροποίησης του προτύπου, το οποίο θα αντικαταστήσει την παλαιότερη έκδοση που εφαρμοζόταν τα τελευταία δέκα, περίπου, έτη. Το ακριβές αναμενόμενο χρονικό  διάστημα στο οποίο θα κληθούν οι οργανισμοί, που είναι ήδη πιστοποιημένοι κατά ISO 27001:2013, να συμμορφωθούν με τη νέα έκδοση δεν έχει ανακοινωθεί ακόμα, αλλά θα κυμαίνεται περίπου στα δύο έτη.

Στις κύριες παραγράφους του προτύπου δεν έχει σημειωθεί κάποια σημαντική αλλαγή. Αυτό σημαίνει ότι δεν αλλάζει το πλαίσιο το οποίο απαιτείται για την επιτυχή ανάπτυξη και εφαρμογή Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών. Όσον αφορά τα μέτρα ελέγχου που περιγράφονται στο Annex A του ISO 27001 αλλά και στο ISO 27002, έχουν γίνει σημαντικές αλλαγές στη δομή της οργάνωσής τους. Πλέον, αντί για τις 14 περιοχές, υπάρχουν 4 θεματικές ενότητες:

• Organizational Controls
• People Controls
• Physical Controls
• Technological Control

Η νέα οργάνωση αναμένεται να διευκολύνει τη συσχέτιση ομοειδών απαιτήσεων και να συμβάλει στην ευκολότερη υλοποίηση και παρακολούθηση των μέτρων Ασφάλειας Πληροφοριών.

Παρόλη τη δραστική αναδιοργάνωση του Annex A, οι απαιτήσεις για την υλοποίηση νέων μέτρων ελέγχου δεν αναμένεται να προβληματίσουν τους οργανισμούς που είναι ήδη πιστοποιημένοι κατά ISO 27001:2013. Πιο συγκεκριμένα, το Annex A του ISO 27001:2022 περιλαμβάνει 93 μέτρα ελέγχου, εκ των οποίων 58 έχουν επικαιροποιηθεί, 24 έχουν συγχωνευτεί ενώ 11 είναι νέα. Η εισαγωγή των νέων μέτρων ελέγχου αναμένεται να συμβάλει στην έγκαιρη και αποτελεσματική διαχείριση των νέων κινδύνων που έχουν κάνει την εμφάνισή τους στον τομέα της Ασφάλειας Πληροφοριών και στην ευθυγράμμιση με τις απαιτήσεις που προέρχονται από  άλλα πρότυπα Ασφάλειας Πληροφοριών και κανονιστικά πλαίσια που διέπουν τη λειτουργία οργανισμών και επιχειρήσεων.

Προκειμένου να συμμορφωθούν οι οργανισμοί πού ήδη εφαρμόζουν Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών κατά ISO 27001:2013 με τις απαιτήσεις της νέας έκδοσης, είναι απαραίτητο να διενεργήσουν μελέτες αποκλίσεων και εκτίμησης κινδύνων Ασφάλειας Πληροφοριών προκειμένου να προσδιοριστούν και να προτεραιοποιηθούν οι ενέργειες που απαιτούνται να υλοποιηθούν για να αντιμετωπιστούν οι κίνδυνοι που πιθανόν αναγνωριστούν στους τομείς που αναφέρονται τα νέα μέτρα ελέγχου.

Οι σύμβουλοι της PRIORITY, έχοντας πολύτιμη εμπειρία στην ανάπτυξη και εφαρμογή Συστημάτων Διαχείρισης Ασφάλειας Πληροφοριών, είναι έτοιμοι να προσφέρουν βοήθεια σε οργανισμούς και επιχειρήσεις κάθε μεγέθους, προκειμένου να υιοθετήσουν τη νέα έκδοση του προτύπου με τρόπο ώστε να διασφαλίζεται η ομαλή τους λειτουργία και η περαιτέρω βελτίωση του επιπέδου Ασφάλειας Πληροφοριών.