תיקוני iso 27002 2022

ISO 27002:2022 שינויים, עדכונים והשוואה

ISO / IEC 27002 תוקן כדי לעדכן את בקרות אבטחת המידע כדי לשקף התפתחויות ונהלי אבטחת מידע עדכניים במגזרים שונים של עסקים וממשלות.

בפוסט זה נסביר את השינויים העיקריים בתקן וכיצד ניתן לגשת אליהם בהצלחה.

ישנם מספר רב של תקנים ומסגרות אבטחה דומות אחרות הקשורות או מבוססות על ISO 27002:2013. השינוי של תקן זה לגרסה חדשה ישפיע עליהם.

קבל ראש על ISO 27002
  • הכל מעודכן עם ערכת הבקרה של 2022
  • התקדמות של עד 81% מרגע הכניסה
  • פשוט וקל לשימוש

הזמן את ההדגמה שלך

היקף מקורי ISO 27002 2013

המטרה העיקרית של ISO 27002:2013 הייתה לספק תוכנית מקיפה לאבטחת מידע וניהול נכסים עבור כל ארגון שזקוק לתוכנית חדשה לניהול אבטחת מידע או שרצה לשפר את מדיניות ונהלי אבטחת המידע הקיימים שלו. הקוד הנוהג נתן את ההמלצות עבור ניהול אבטחת מידע לאחראים על ייזום, יישום ותחזוקת אבטחת מידע בארגון.

מה השתנה ב-ISO 27002 2022?

ב-ISO 27002:2022 שונה שם התקן. במקום "טכנולוגית מידע - טכניקות אבטחה - קוד נוהג לבקרות אבטחת מידע", השם הוא כעת "אבטחת מידע, אבטחת סייבר והגנת פרטיות - בקרות אבטחת מידע" בגרסה 2022.

שינויים בנוף הציות, למשל תקנות כגון GDPR (תקנה כללית להגנת נתונים), POPIA (חוק הגנת מידע אישי), APPs (עקרונות פרטיות אוסטרליים), ההמשכיות העסקית המתפתחת, סיכוני הסייבר ואתגרי הציות העומדים בפני ארגונים ברחבי העולם והכנסת ISO 27701 הביאו לצורך ב-ISO 27002 כדי להרחיב את ההיקף של הבקרות שלה ממוקד אבטחת המידע המקורי שלה, כדי לתת את הדעת על אבטחת סייבר וניהול פרטיות מידע ופגיעות.

ארגון ISO מקווה לשפר את הכוונה על ידי מתן ערכת התייחסות עבור אבטחת מידע יעדי בקרה לשימוש באבטחת מידע, פרטיות ואבטחת סייבר ספציפית להקשר.

מתי זה עלה לאוויר?

הגרסה החדשה של ISO 27002 2022 פורסמה ב-15 בפברואר 2022.

פירוש השינויים

הרושם הראשון שלנו מהתקן המתוקן הוא שהוא מספק מבנה פשוט יותר שניתן ליישם בכל ארגון וכעת ניתן להשתמש בו גם לניהול פרופיל סיכון רחב יותר. זה יכול לכלול מידע אבטחה וההיבטים הטכניים יותר של אבטחה פיזית, ניהול נכסים, אבטחת סייבר ומרכיבי אבטחת משאבי אנוש שמגיעים עם הגנת הפרטיות.

השינוי המשמעותי הראשון בתקן הוא התרחקות מ"קוד נוהג" ומיצבו כמערכת של פקדים שיכולים לעמוד לבד או קיימים כחלק ממערכת ניהול אבטחת מידע ISO 27001.

מה השתנה?

מספר הפקדים בגרסה החדשה ISO 27002 2022 ירד מ-114 פקדים ב-14 סעיפים במהדורת 2013 ל-93 פקדים במהדורת 2022. בקרות אלה מסווגות כעת לארבעה "נושאים" בקרה, שהם "בקרות ארגוניות", "בקרות אנשים", "בקרות פיזיות" ו"בקרות טכנולוגיות".

מהי בקרה?

"שליטה" מוגדרת כאמצעי שמשנה או שומר על סיכון. א מדיניות אבטחת מידע, למשל, יכול רק לשמור על סיכון, בעוד שעמידה במדיניות אבטחת המידע יכולה לשנות את הסיכון. יתרה מכך, בקרות מסוימות מתארות את אותו מדד גנרי בהקשרי סיכון שונים.

הדרכה בקרה

סעיף ההדרכה עבור כל בקרה נבדק ועודכן (במידת הצורך) כדי לשקף התפתחויות ושיטות עבודה נוכחיות. בנוסף, כל פקד מצויד כעת בהצהרת 'מטרה' ובסט של "תכונות" כדי להתייחס גם למושגי אבטחת סייבר ושיטות עבודה מומלצות אחרות.

אילו בקרות השתנו?

בתוך 93 הפקדים (ובהשוואה למהדורת 2013), 11 פקדים חדשים, 24 ממוזגים ו-58 מעודכנים (בעיקר עבור סעיף ההדרכה).

ערכות הבקרה מאורגנות כעת בארבע (4) קטגוריות או נושאים במקום ארבעה עשר (14) תחומי בקרה. ארבע הקטגוריות כוללות:

  • אִרְגוּנִי

  • אֲנָשִׁים

  • גוּפָנִי

  • טֶכנוֹלוֹגִי

ספירת הבקרה הכוללת הצטמצמה - יש 21 בקרות פחות בגרסה החדשה של ISO 27002:2022.

נעשה מאמץ משותף למנוע יתירות שליטה. גרסת 2022 כוללת 24 פקדים שמוזגו מגרסת 2013.

לתקן יש כעת 11 חדשים בקרות כדי לשקף את אבטחת המידע הנוכחית, אבטחה פיזית ואבטחת סייבר.

יעד הבקרה עבור קבוצת בקרות הוחלף באלמנט "מטרה" בגרסת 2022.

כדי לשפר את תהליך הפחתת הסיכונים, ההערכה והטיפול, הוכנס המושג "תכונות לבקרות". יתרה מכך, תוכל ליצור תצוגות שונות של פקדים - כלומר, סיווגים של פקדים מנקודת מבט שונה מזו של ערכות הבקרה.

בקרות חדשות

ההיקף של ISO/IEC 27002:2022 מציג כעת 11 בקרים חדשים. אלו הם:

  1. אינטליגנציה מאיימת - הבנת התוקפים והשיטות שלהם בהקשר של נוף ה-IT שלך.

  2. אבטחת מידע לשימוש בשירותי ענן - יש לשקול כעת באופן מקיף את ההקדמה באמצעות הפעלה לאסטרטגיית יציאה לגבי יוזמות ענן.

  3. מוכנות ICT להמשכיות עסקית – הדרישות לנוף ה-IT צריכות להיגזר מהתהליכים העסקיים הכוללים ומהיכולת לשחזר יכולות תפעוליות.

  4. ניטור אבטחה פיזית – השימוש במערכות אזעקה וניטור למניעת גישה פיזית בלתי מורשית קיבל דגש רב יותר.

  5. תְצוּרָה ניהול - הקשחה ותצורה מאובטחת של מערכות IT.

  6. מחיקת מידע – יש ליישם עמידה בדרישות חיצוניות, כגון מושגי מחיקת הגנת מידע.

  7. מיסוך נתונים - שימוש בטכניקות שמסיכות נתונים, כגון אנונימיזציה ופסאודונימיזציה, כדי לחזק את הגנת הנתונים שלך.

  8. מניעת דליפת נתונים - נקיטת צעדים כדי למנוע דליפה של נתונים רגישים.

  9. ניטור פעילויות - הארגון שלך צריך לפקח על אבטחת הרשת והתנהגות יישומים כדי לזהות חריגות ברשת.

  10. סינון אינטרנט - עוזר למנוע ממשתמשים לצפות בכתובות URL ספציפיות המכילות קוד זדוני.

  11. קידוד מאובטח - שימוש בכלים, הערות, מעקב אחר שינויים והימנעות משיטות תכנות לא מאובטחות הן דרכים להבטיח קידוד מאובטח.

זה נותן לנו:

  • 93 פקדים בגרסה החדשה של 27002.

  • 11 פקדים חדשים.

  • בסך הכל אוחדו 24 פקדים משניים, שלושה או יותר פקדים מגרסת 2013; ו

  • 58 פקדים מגרסת 2013 נבדקו ושונו כדי להתיישר עם הסביבה הנוכחית למידע אבטחה ואבטחת סייבר.

  • נספח א', אשר כולל הדרכה ליישום תכונות, ו

  • נספח ב', אשר מתכתב עם ISO/IEC 27001 2013. זה בעצם טבלת שתי טבלאות שמצליבה מספרי בקרה/מזהים כדי להקל על הפניה המפרטת מה חדש ומה התמזג.

מה הן תכונות

הגרסה החדשה של תקן ISO 27002 מציגה סעיף תכונות לכל פקד. תכונות הן אמצעי לסווג בקרות. אלה מאפשרים לך ליישר במהירות את בחירת הבקרה שלך עם השפה והסטנדרטים הנפוצים בתעשייה. תכונות אלו מזהות נקודות מפתח:

  • סוג בקרה

  • מאפייני InfoSec

  • אבטחת סייבר מושגים

  • יכולות מבצעיות

  • תחומי אבטחה

השימוש בתכונות תומך בעבודה שחברות רבות כבר עושות במסגרת הערכת הסיכונים שלהן הצהרת ישימות (SOA).

לדוגמה, מושגי אבטחת סייבר מ-NIST ניתן להבחין בבירור בין בקרות CIS, וניתן לזהות את היכולות התפעוליות הקשורות לתקנים אחרים.

איך זה משפיע עליך?

תיקון ISO 27002 2022 ישפיע על ארגון באופן הבא:

  • אם אתה כבר מוסמך ISO 27001 2013

  • האם אתה באמצע הסמכה

  • אם אתה עומד לאשר מחדש

הסמכת ISO 27001 נמשכת שלוש שנים. אם הארגון שלך כבר מוסמך, אינך צריך לעשות שום דבר כעת, תקן ISO 27002 2022 המעודכן יחול עם חידוש/הסמכה מחדש. לכן, הגיוני שכל הארגונים המוסמכים יצטרכו להתכונן לתקן המתוקן בשלב כלשהו.

איך זה משפיע על ההסמכה (המחדש) שלך

נניח שארגון נמצא כעת בתהליך של הסמכה או הסמכה מחדש של ISO 27001 2013. במקרה זה, הם יצפו לבדוק מחדש את הערכת הסיכונים שלהם ולזהות את הבקרות החדשות כפי שישים ולשנות את הצהרת תחולה' על ידי השוואת בקרות נספח א' המתוקנות. מכיוון שישנן כמה בקרות חדשות והנחיה שונה או נוספת לבקרות אחרות, ארגונים צריכים לעיין ב-ISO 27002 המתוקן עבור כל שינוי ביישום.

למרות שגרסה 27001 של ISO 2022 טרם פורסם, נספח B של ISO 27002 ממפה את הפקדים בין גרסאות 2013 ו-2022 של התקן.

הצהרת התחולה שלך (SOA) עדיין צריכה להתייחס לנספח A של ISO 27001, בעוד שהבקרות חייבות להתייחס לתקן ISO 27002:2022 המתוקן, שיהווה ערכת בקרה חלופית.

האם אתה צריך לתקן את התיעוד שלך

עמידה בשינויים אלה צריכה לכלול:

  • עדכון שלך תהליך טיפול בסיכון עם פקדים מעודכנים

  • עדכון להצהרת התחולה שלך

  • עדכן את המדיניות והנהלים הנוכחיים שלך עם הנחיות כנגד כל בקרה במידת הצורך.

הורד את המדריך החינמי שלנו להסמכה מהירה ובר קיימא

תמונת cta

איך זה משפיע על ISO 27001 2013

עד לפרסום תקן ISO 27001 2022 חדש, תכניות הסמכת ה-ISO הנוכחיות יימשכו, אם כי יידרש מיפוי לבקרות החדשות של ISO 27002 2022 באמצעות נספח B & B1.2.

שינויים קרובים ל-ISO 27001

רוב האנשים שעוקבים אחר אבטחת מידע מצפים שהשינויים ב-ISO 27001 יהיו שינויים טקסטואליים קלים עם עדכון מינורי של נספח A כדי להתיישר עם עדכון ISO 27002 2022.

מתי יעודכן ISO 27001?

תקן ISO 27001 צפוי השנה (אוקטובר 2022). תאריך זה הוא ספקולטיבי ויש לאשר אותו.

האם תקני 27000 אחרים מושפעים?

תקני מערכות ניהול ומסגרות הקשורות ו/או מבוססות על גרסת ISO/IEC 27002:2013 יחושו בשינוי. תקנים ומסגרות נפוצות כגון ISO 27701 (פרטיות), ISO 27017 (שירותי ענן) ו-ISO 27018 (פרטיות בענן) צפויים להגיע, וייתכן שצפויה השפעה נוספת על תקנים ומסגרות מקומיות.

האם אתה מוכן לשינויים?

אתה יכול להתחיל להכין את הארגון שלך מערכת ניהול כנגד גרסת DIS 27001 (DIS כלומר טיוטת תקן בינלאומי) או המתן עד שהתקן המתוקן יהפוך לסופי.

כמה צעדים שהארגון שלך יכול לנקוט כדי להתכונן לתקן המתוקן הם:

  • השלם ניתוח פערים של הפקדים הנוכחיים שלך מול הפקדים החדשים.

  • בצע ניתוח סיכונים בהתאם לבקרות 27002 2022 המעודכנות.

  • מפה בקרות באמצעות נספח B בין ISO 27002:2013 ל-ISO 27002:2022.

  • הבן אילו בקרות ישימות ועדכן את שלך אבטחת מידע מערכת ניהול בהתאם.

  • בצע עדכונים להצהרת התחולה שלך.

  • תעבור בדיקה ועדכון שלך ביקורת פנימית תוכנית לזיהוי הפקדים המעודכנים הנדרשים.

  • ודא שלך מדדי האבטחה מתעדכנים בהתאם להערכת הסיכונים החדשה שלך ושולט.

  • עדכן וסקור תקנים, נהלים ומדיניות בהתאם לשינויים בסביבה שלך.

  • בצע צעדים כדי לעדכן את הארגון שלך הערכת סיכונים, מכיוון שתעדכן את הפקדים הקיימים שלך.

  • הערך את כל הכלים של צד שלישי שבהם אתה משתמש כדי להוכיח כעת תאימות כדי להבטיח שהם יכולים לתמוך בתיקונים החדשים.

זה יעזור לך להקדים את המשחק עבור הסמכה מחדש או אימוץ נוסף משפחת ISO 27000 תקנים/מסגרות, למשל ISO 27018, 27017, 27032, אשר צפויים להתעדכן זמן קצר לאחר עדכון ISO 27001 2022.

האם ISMS.online יכול לעזור לך לעבור לגרסה החדשה של ISO 27002:2022?

כן אנחנו יכולים. אם אתה כבר לקוח, אנו ניצור איתך קשר עם קבוצה של אפשרויות הגירה בקרוב. אם אינך לקוח, יש לנו מגוון אפשרויות שיעזרו לך העבר את מערכת ניהול אבטחת המידע שלך ל-ISMS באינטרנט.

מוכן לעשות מעשה?

הזמן את ההדגמה שלך

תמונת cta

נערך לאחרונה: 30 ביוני 2022
מְחַבֵּר

מקס אדוארדס

מקס עובד כחלק מצוות השיווק של ISMS.online ומבטיח שהאתר שלנו מתעדכן בתוכן שימושי ומידע על כל מה שקשור ל-ISO 27001, 27002 ותאימות.

צפה בכל הפוסטים של מקס אדוארדס

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף