Rozwój technologii informatycznych wymaga określenia norm dotyczących bezpiecznego zarządzania danymi. Efektywną metodę ochrony informacji zapewnia norma ISO 27001. Jakie zmiany zostały wprowadzone w nowej wersji ISO 27001 i co oznaczają dla organizacji?
Spis treści
Co to jest ISO 27001?
ISO 27001 to najpopularniejsza na świecie norma standaryzująca systemy zarządzania bezpieczeństwa informacji (SZBI). Standard ma zastosowanie we wszystkich organizacjach, gdzie ochrona informacji wynika z odpowiednich przepisów prawa.
Norma ISO 27001 określa wytyczne dla ustanowienia, wdrożenia, utrzymania i doskonalenia SZBI. Zawiera wymogi dotyczące postępowania z ryzykiem związanym z bezpieczeństwem informacji. Innymi słowy, jest to zbiór najefektywniejszych metod zarządzania, zapewniających ochronę danych klientów.
Certyfikat ISO 27001 – jakie korzyści przynosi?
Skuteczna ochrona wrażliwych danych minimalizuje potencjalne zagrożenia związane z kradzieżą informacji. System bezpieczeństwa informacji oparty o normę ISO 27001 pomaga efektywnie realizować w firmach działania związane z poufnością danych.
Certyfikat ISO 27001 stanowi gwarancję bezpieczeństwa w kwestii przetwarzania informacji. Firmy posiadające certyfikat systemu zarządzania bezpieczeństwem informacji zdobywają zaufanie klientów oraz partnerów biznesowych. Co więcej, przedsiębiorstwa zwiększają konkurencyjność na rynku.
ISO 27001 – dla kogo jest?
Norma ISO 27001 skierowana jest do wszystkich przedsiębiorstw. Systemy zarządzania bezpieczeństwem informacji mają szczególnie zastosowanie we wszystkich strukturach, gdzie dane stanowią podstawową wartość, a ochrona informacji ma kluczowe znaczenie. ISO 27001 jest wyjątkowo użyteczne w przedsiębiorstwach z branży IT oraz funkcjonujących w obrębie sektora publicznego i finansowego.
Zmiany w normie ISO 27001
Najważniejsze zmiany ISO 27001:2022 dotyczą załącznika A, który został dostosowany do normy ISO 27002:2022. W nowej wersji standardu ISO 27001:2022 zaktualizowano listę zabezpieczeń. Obecnie zamiast 114 występują 93 zabezpieczenia, w tym pojawiło się 11 nowych zabezpieczeń:
- analiza zagrożeń,
- bezpieczeństwo informacji przy korzystaniu z usług w chmurze,
- gotowość teleinformatyczna do zapewnienia ciągłości działania,
- monitorowanie bezpieczeństwa fizycznego,
- zarządzanie konfiguracją,
- usuwanie informacji,
- maskowanie danych,
- zapobieganie wyciekom danych,
- działania monitorujące,
- filtrowanie sieci,
- bezpieczne kodowanie.
Dodatkowo zostały połączone dotychczasowe 24 zabezpieczenia i poprawione 58 zabezpieczeń. Zrestrukturyzowane zabezpieczenia zostały podzielone na 4 grupy, takie jak:
- obszar zabezpieczeń organizacyjnych (37 elementów sterujących),
- obszar zabezpieczeń osób (8 elementów sterujących),
- obszar zabezpieczeń fizycznych (14 elementów sterujących),
- obszar zabezpieczeń technologicznych (44 elementów sterujących).
Opublikowany w 2022 roku dokument „Wymogi przejściowe dla ISO/IEC 27001:2022” wyznacza czas przejścia na aktualną normę – po 3 latach od wprowadzenia standardu jednostki certyfikacyjne będą miały obowiązek przeprowadzania audytu bezpieczeństwa informacji zgodnie z nową wersją normy. Organizacje powinny już teraz zacząć wdrażać zmiany w swoich systemach zarządzania zgodnie z nowymi wytycznymi.
Certyfikacja wg nowej wersji normy będzie możliwa dopiero po audycie akredytowanej jednostki certyfikacyjnej. Jedną z wiodących firm, która oferuje kompleksowe usługi eksperckie w zakresie certyfikacji i audytów jest DEKRA Certification. Firma jest częścią międzynarodowego koncernu DEKRA SE – światowego lidera na rynku certyfikacji systemów zarządzania, w TOP 3 firm TIC działających w Polsce. Świadomi zagrożeń i nowych wyzwań klienci DEKRA korzystają z nowoczesnych rozwiązań z zakresu cyberbezpieczeństwa, bezpieczeństwa informacji i zarządzania ciągłością działania, oraz z usług wspierających zrównoważony rozwój.