Περίπου οχτώ χρόνια έχουν περάσει από την τελευταία αναθεώρηση του ISO/IEC 27002, γεγονός που υποδεικνύει την ανάγκη βελτίωσης και επικαιροποίησής του προκειμένου να εκπληρώσει τον ρόλο του ως πρότυπο καθοδήγησης για την εφαρμογή των μέτρων ελέγχου του ISO 27001.
Η νέα έκδοση του ISO/IEC 27002 δημοσιεύθηκε τον Φεβρουάριο του 2022 και σε αυτό το άρθρο παρουσιάζονται οι βασικές αλλαγές σε σχέση με τον προκάτοχό του. Οι αλλαγές αυτές δεν αφορούν μόνο μέτρα ελέγχου αλλά και τον τρόπο με τον οποίο αυτά οργανώνονται μέσα στην νέα έκδοση του προτύπου.
Το νέο ISO/IEC 27002 περιλαμβάνει 93 σημεία ελέγχου, έναντι των 114 της προηγούμενης έκδοσης, τα οποία κατανέμονται σε 4 βασικές θεματικές κατηγορίες όπως αυτές φαίνονται παρακάτω:
Αυτή η ανανεωμένη δομή διευκολύνει σε μεγάλο βαθμό την κατανόηση της Εφαρμοσιμότητας των απαιτήσεων, καθώς και τον καθορισμό των κατάλληλων αρμοδιοτήτων ανά απαίτηση.
Η έκδοση του 2022 έχει μειώσει τον αριθμό των σημείων ελέγχου κατά 21. Οι τεχνολογικές εξελίξεις και η βελτίωση της κατανόησης του τρόπου εφαρμογής των πρακτικών ασφαλείας είναι οι κύριοι λόγοι για την αλλαγή στον αριθμό των controls. Συγκεκριμένα:
Τα σημεία ελέγχου στην νέα έκδοση του ISO/IEC 27002 εισάγουν δύο νέα στοιχεία στη δομή τους:
Αυτά τα πρόσθετα στοιχεία διευκολύνουν την αναζήτηση πληροφοριών για την καλύτερη κατανόηση του τρόπου ταξινόμησης και αιτιολόγησης της χρήσης ενός σημείου ελέγχου.
Όσον αφορά τους κατόχους ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών που βασίζεται στο ISO/IEC 27001, δεν υπάρχει λόγος ανησυχίας– όποιες αλλαγές και αν επιφέρει η αναθεωρημένη έκδοση του ISO 27002, θα υπάρξει μεταβατική περίοδος 2 ετών για τις πιστοποιημένες εταιρείες και οργανισμούς.
Από τη στιγμή που οι αλλαγές που αναφέρθηκαν πιο πάνω, γίνουν μέρος του παραρτήματος Α του ISO 27001, θα πρέπει ο εκάστοτε οργανισμός ή εταιρεία να ακολουθήσει τα παρακάτω βήματα:
H PRIORITY έχοντας στο ενεργητικό της την υλοποίηση σύνθετων και απαιτητικών έργων ανάπτυξης Συστημάτων Διαχείρισης Ασφάλειας Πληροφοριών, μπορεί να βοηθήσει επιχειρήσεις ή οργανισμούς που θέλουν να μεταβούν από την παλαιότερη έκδοση του ISO 27001 στη νέα, παρέχοντας συμβουλευτικές υπηρεσίες για την υλοποίηση των νέων απαιτήσεων που εισάγει το πρότυπο και εκπαιδεύοντας παράλληλα το προσωπικό στις νέες αυτές απαιτήσεις.