Promjene u verziji standarda smjernica za informacijsku sigurnost iz 2022. prvenstveno se odnose na kontrole koje pomažu tvrtkama u rješavanju promjenjivih sigurnosnih scenarija i povezanih rizika.
Posljednja izmjena ISO/IEC 27002 bila je 2013. s manjim izmjenama 2017. Stoga je nova verzija dugo kasnila. Današnja informacijska sigurnost, kibernetička sigurnost i rizici povezani s privatnošću dramatično su se promijenili. Prijetnja svim tvrtkama se pojačala, a upravljanje informacijskom sigurnošću postalo je pitanje kontinuiteta poslovanja i otpornosti. Napadi ili kršenja mogu u najboljem slučaju biti smetnja, ali sve je više slučajeva u kojima su tvrtke ozbiljno pogođene, proizvodnja otežana ili potpuno zaustavljena danima, pa čak i tjednima.
“Tema je u velikoj mjeri u središtu većine korporativnih planova i odbora. Čini se da su svi u opasnosti, ali mnogi nisu implementirali ispravan i robustan sustav za prepoznavanje, upravljanje i ublažavanje rizika informacijske sigurnosti. Ažurirani standard pomaže tvrtkama u rješavanju promjenjivih scenarija informacijske sigurnosti,” kaže Nanda Kumar Shamanna, ICT poslovni menadžer Business Assurance u DNV-u.
Nova verzija se bavi kontrolama koje se odnose na digitalne tehnologije i tehnologije u oblaku kako bi uključile kibernetičku sigurnost i prijetnje vezane uz privatnost (kao što su ransomware i zlonamjerni softver). Standard je također revidiran kako bi se pozabavio drugim sigurnosnim perspektivama, kroz identifikaciju različitih atributa.
Promjene ovih smjernica utjecat će na standard ISO/IEC 27001 prema kojem se može certificirati. Očekuje se da će nova verzija ISO/IEC 27001 biti objavljena kasnije ove godine, vjerojatno u listopadu. Očekuje se da će se promjene odnositi isključivo na kontrole (Aneks A). O tranziciji na novu verziju norme bit će odlučeno kao dio izdanja ISO/IEC 27001:2022 kasnije ove godine; međutim, s izdavanjem ISO/IEC 27002 moguće je već započeti s pripremama.
Glavne prednosti nove verzije za certificirane tvrtke:
- Rješava nove scenarije i rizike;
- Pomaže razumjeti druge sigurnosne perspektive;
- Uključuje aspekte kibernetičke sigurnosti i privatnosti;
- Nove kontrole kako bi se osiguralo da se ne propuste novi scenariji i rizici.
Za tvrtke to prvenstveno znači pregled procesa i sustava koji se odnose na vodstvo, korporativnu sigurnost, IT funkciju, isporuku (ako se radi o pružatelju usluge) i druge funkcije podrške.