Hír:
Az ISO/IEC 27001 és az ISO/IEC 27002 egyaránt felülvizsgálat alatt áll. Az új 27001:2022 és az új ISO 27002:2022 a tervek szerint 2022 március végéig megjelenik.

Változások az új ISO 27001:2022-ben
Az ISO 27001:2022 főbb változásai a következők:

• Az A. melléklet hivatkozik az ISO/IEC 27002:2022 szabványban szereplő kontrollokra, amely tartalmazza az adott kontroll címét és kontrollt magát, így a 27002 szabvány a 27001 szabványnak a követelményszabványává válik.
• A 6.1.3 c) pont megjegyzését átdolgozták
• A 6.1.3 d) pont szövegezése az egyértelműség és a félreérthetőség kiküszöbölése érdekében átdolgozásra került.

Változások az ISO 27002:2022-ben
Az eddigi szabvány 114 kontrollt tartalmaz 14 területen; az ISO 27002:2022 93 kontrollt tartalmaz majd 4 területen:

-    5. fejezet – Szervezet – 37 kontroll
-    6. fejezet – Emberi erőforrások – 8 kontroll
-    7. fejezet – Fizikai/materiális – 14 kontroll
-    8. fejezet – Technológiai – 34 kontroll.

Ezek között 12 teljesen új kontroll lesz, ami a megváltozott technológiai körülmények miatt lett szükséges, melyek a következők:

-    Fenyegetések kezelése
-    Információbiztonság a felhőszolgáltatások használatához
-    Személyazonosság-kezelés
-    Info-kommunikációs felkészültség az üzletmenet folytonosságához
-    Fizikai biztonság felügyelete
-    Felhasználói végponti eszközök
-    Konfigurációkezelés
-    Információtörlés kezelése
-    Adatmaszkolás
-    Adatszivárgás megelőzése
-    Webszűrés
-    Biztonságos kódolás

Az egyes kontrollok kategorizálását elősegítendő, öt jellemzővel (#hashtag taxonómia) látták el őket, melyek:

-    A kontroll típusa (#megelőző, #felderítő, #javító)
-    Információbiztonsági tulajdonságok (#bizalmasság, #integritás, #rendelkezésre állás)
-    Kiberbiztonsági koncepciók (#azonosítás, #védelem, #észlelés, #reagálás, #helyreállítás) ezáltal a NIST Cybersecurity Framework öt „funkcionalitásával” kerül összhangba (lásd: NIST 800-170)
-    Működési képességek (#irányítás, #IT eszközkezelés, #információvédelem, stb.)
-    Biztonsági domain-ek (#irányítás és ökoszisztéma, #védelem, #ellenálló képesség)

16 kontrollt töröltek:

-    Az információbiztonságra vonatkozó politikák felülvizsgálata
-    Mobileszköz-szabályzat
-    Eszközök tulajdonjoga
-    Eszközök kezelése
-    Jelszókezelési rendszer
-    Kézbesítési és rakodási területek
-    Eszközök eltávolítása
-    Felügyelet nélküli felhasználói berendezések
-    A naplóinformációk védelme
-    A szoftverek telepítésének korlátozása
-    Elektronikus üzenetküldés
-    Az alkalmazásszolgáltatások védelme nyilvános hálózatokon
-    Az alkalmazásszolgáltatások tranzakcióinak védelme
-    Rendszerátvételi tesztek Információbiztonsági hiányosságok jelentése
-    Technikai megfelelőség felülvizsgálata.

Van néhány kontroll, amelyeket módosítottak és integráltak, hogy egyetlen fő vezérlőelemmé váljanak. Néhány példa:

-    A "Vagyon leltár" "Információk és egyéb kapcsolódó eszközök leltár" névre módosul.
-    "Az eszközök elfogadható használata" "Az információk és egyéb kapcsolódó eszközök elfogadható használata"-ra módosult.
-    A kriptográfiai ellenőrzésekre és kulcskezelésre stb. vonatkozó irányelv „A kriptográfiai felügyelet használata" címre változott.
-    Az eseménynaplózás átnevezése "Naplózás"-ra.
-    A rendszergazdai és üzemeltetői naplózás "Monitoring tevékenységek" címre változott.
-    Az információátadási irányelvek és eljárások, az információátadásról szóló megállapodás stb. az "Információátadás" alatt egy fő kontrollban egyesítve.

Cégünk vállalja az új 27001:2022 szabvány követelményeinek való megfelelésre történő átállás elősegítését, dokumentáció átdolgozását, belső auditok megtartását, külső auditra történő felkészítést, valamint partner tanúsítónkkal a tanúsítás megszervezését és kivitelezését.

2022.02.03

Dr. Becser Balázs
vezető auditor