Εταιρικά Νέα

Νέο ISO/IEC 27002:2022 – Κατανοώντας τις κύριες αλλαγές

20-05-2021

Περίπου οχτώ χρόνια έχουν περάσει από την τελευταία αναθεώρηση του ISO/IEC 27002, γεγονός που υποδεικνύει την ανάγκη βελτίωσης και επικαιροποίησής του προκειμένου να εκπληρώσει τον ρόλο του ως πρότυπο καθοδήγησης για την εφαρμογή των μέτρων ελέγχου του ISO 27001.

Η νέα έκδοση του ISO/IEC 27002 δημοσιεύθηκε τον Φεβρουάριο του 2022 και σε αυτό το άρθρο παρουσιάζονται οι βασικές αλλαγές σε σχέση με τον προκάτοχό του. Οι αλλαγές αυτές δεν αφορούν μόνο μέτρα ελέγχου αλλά και τον τρόπο με τον οποίο αυτά οργανώνονται μέσα στην νέα έκδοση του προτύπου.

Το νέο ISO/IEC 27002 περιλαμβάνει 93 σημεία ελέγχου, έναντι των 114 της προηγούμενης έκδοσης, τα οποία κατανέμονται σε 4 βασικές θεματικές κατηγορίες όπως αυτές φαίνονται παρακάτω:

  • Οργανωτικά σημεία ελέγχου (organizational) – παράγραφος 5
  • Σημεία ελέγχου που αφορούν ανθρώπους (people) – παράγραφος 6
  • Σημεία ελέγχου που εστιάζουν σε φυσικά αντικείμενα (physical) – παράγραφος 7
  • Τεχνολογικά σημεία ελέγχου (technological) – παράγραφος 8

Αυτή η ανανεωμένη δομή διευκολύνει σε μεγάλο βαθμό την κατανόηση της Εφαρμοσιμότητας των απαιτήσεων, καθώς και τον καθορισμό των κατάλληλων αρμοδιοτήτων ανά απαίτηση.

Η έκδοση του 2022 έχει μειώσει τον αριθμό των σημείων ελέγχου κατά 21. Οι τεχνολογικές εξελίξεις και η βελτίωση της κατανόησης του τρόπου εφαρμογής των πρακτικών ασφαλείας είναι οι κύριοι λόγοι για την αλλαγή στον αριθμό των controls. Συγκεκριμένα:

  • 23 σημεία ελέγχου μετονομάστηκαν με σκοπό να γίνουν πιο κατανοητά
  • 57 σημεία ελέγχου συγχωνεύθηκαν σε 24 καθώς αποτελούσαν βήματα μιας μεγαλύτερης διαδικασίας
  • 1 σημείο ελέγχου διαχωρίστηκε σε 2 νέα
  • 35 σημεία ελέγχου παρέμειναν ίδια αλλάζοντας μόνο η αρίθμησή τους
  • 11 νέα σημεία ελέγχου προστέθηκαν στο πρότυπο όπως φαίνονται στο σχήμα παρακάτω:

 

Τα σημεία ελέγχου στην νέα έκδοση του ISO/IEC 27002 εισάγουν δύο νέα στοιχεία στη δομή τους:

  • Πίνακας χαρακτηριστικών: στοιχεία που σχετίζονται με το σημείο ελέγχου όπως: τύπος, ιδιότητες ασφάλειας πληροφοριών, τομείς ασφάλειας, λειτουργικές δυνατότητες, έννοιες Κυβερνοασφάλειας
  • Σκοπός: αιτιολογία εφαρμογής του σημείου ελέγχου

Αυτά τα πρόσθετα στοιχεία διευκολύνουν την αναζήτηση πληροφοριών για την καλύτερη κατανόηση του τρόπου ταξινόμησης και αιτιολόγησης της χρήσης ενός σημείου ελέγχου.

Όσον αφορά τους κατόχους ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών που βασίζεται στο ISO/IEC 27001, δεν υπάρχει λόγος ανησυχίας– όποιες αλλαγές και αν επιφέρει η αναθεωρημένη έκδοση του ISO 27002, θα υπάρξει μεταβατική περίοδος 2 ετών για τις πιστοποιημένες εταιρείες και οργανισμούς.

Από τη στιγμή που οι αλλαγές που αναφέρθηκαν πιο πάνω, γίνουν μέρος του παραρτήματος Α του ISO 27001, θα πρέπει ο εκάστοτε οργανισμός ή εταιρεία να ακολουθήσει τα παρακάτω βήματα:

  • Έλεγχος και αναθεώρηση της διαδικασίας εκτίμησης και αντιμετώπισης κινδύνων Ασφάλειας Πληροφοριών με σκοπό την ευθυγράμμιση της με τη νέα δομή και αρίθμηση των σημείων ελέγχων του προτύπου.
  • Διενέργεια νέας μελέτης εκτίμησης Κινδύνων Ασφάλειας Πληροφοριών
  • Ενημέρωση της Δήλωσης Εφαρμοσιμότητας (SoA) με σκοπό να συμφωνεί με την νέα αρίθμηση των σημείων ελέγχων του προτύπου.
  • Έλεγχος και επικαιροποίηση των υφιστάμενων πολιτικών και διαδικασιών.
  • Σύνταξη και δημιουργία νέας τεκμηρίωσης που βασίζεται στα νέα σημεία ελέγχου.

H PRIORITY έχοντας στο ενεργητικό της την υλοποίηση σύνθετων και απαιτητικών έργων ανάπτυξης Συστημάτων Διαχείρισης Ασφάλειας Πληροφοριών, μπορεί να βοηθήσει επιχειρήσεις ή οργανισμούς που θέλουν να μεταβούν από την  παλαιότερη έκδοση του ISO 27001 στη νέα, παρέχοντας συμβουλευτικές υπηρεσίες για την υλοποίηση των νέων απαιτήσεων που εισάγει το πρότυπο και εκπαιδεύοντας παράλληλα το προσωπικό στις νέες αυτές απαιτήσεις.