15 lutego 2022 r. cały świat mógł przekonać się jak wygląda odświeżona norma ISO 27002. Pierwsze prace, które związane były z modyfikacją rozpoczęły się jeszcze w 2018 roku. Całe cztery lata zajęło ustalenie co tak naprawdę powinno zostać zmienione.
ISO 27002 – co to tak naprawdę jest?
Certyfikat ISO 27002 pozwala na wdrożenie norm, które obejmują zagadnienia związane z “ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem Systemu Zarządzania Bezpieczeństwem Informacji”. Warto dodać, że ISO 27002 bezpośrednio nawiązuje do normy ISO 27001 i jest jej bezpośrednim rozwinięciem.
Czego tak naprawdę dotyczy aktualizacja normy ISO/IEC 27002?
Czego już nie ma?
Omówienie zmian należy rozpocząć od tego, co tak naprawdę zostało usunięte. Otóż zgodnie z wprowadzonymi zmianami, zostały usunięte takie tematy jak:
- postępowanie z aktywami i ich wynoszenie,
- zgłaszanie słabości związanych z bezpieczeństwem informacji.
Wiele tego nie ma, ale zastosowanie tych technik bezpieczeństwa okazało się niepotrzebne. W szczególności, jeżeli weźmie się pod uwagę zmiany, które zostały zastosowane.
Czas na zastosowanie nowych technik bezpieczeństwa
Wprowadzona modyfikacja pozwoliła zapoznać się z nowymi technikami bezpieczeństwa, odnoszącymi się do takich zagadnień jak:
- analiza zagrożeń,
- bezpieczeństwo informacji przy korzystaniu z usług w chmurze,
- gotowość teleinformatyczna do zapewnienia ciągłości działania,
- monitorowanie bezpieczeństwa fizycznego,
- zarządzanie konfiguracją.
To tylko część tematów, jakie zostały zaktualizowane. Firmy, które wcześniej wprowadziły u siebie ISO 27002 zostały poniekąd zmuszone do wprowadzenia nowych zmian, które i tak miały wyjść tylko na lepsze. Aby wprowadzenie zmian było jak najmniej bolesne, można było poprosić o wsparcie firmę DJB doradztwo, organizującą audyt ISO 27002. Z ich pomocą wdrożenie nowych technik bezpieczeństwa nie stanowiło żadnego problemu.
Obowiązujące standardy
Dlaczego przy wprowadzeniu zmian, należy poprosić o pomoc odpowiednich specjalistów? Ponieważ ich znajomość odnośnie danej tematyki jest większa, dzięki czemu doskonale będą oni wiedzieć jakimi strefami dokładnie mają się zająć. Z takimi osobami zyskuje się większą pewność nie tylko na pozyskanie certyfikatu, ale również na jego utrzymaniu. Nie można bowiem zapomnieć o tym, że certyfikat ISO 27002 przyznawany jest na pewien czas. Po wyznaczonym okresie ponownie odbywać się będzie audyt ISO 27002, który zdecyduje o utrzymaniu certyfikatu lub jego utracie.