Η αναθεώρηση – έπειτα από 9 χρόνια – του πλέον αναγνωρισμένου διεθνώς προτύπου για την Ασφάλεια Πληροφοριών – το ISO27001 – είναι μια σημαντική εξέλιξη από αξίζει να αναλύσουμε
Του Θανάση Μητσάκου
Διευθυντής Ελέγχων Συστημάτων Πληροφορικής
TÜV AUSTRIA Hellas – www.tuvaustriahellas.gr
Η ψηφιακή ασφάλεια και η ασφάλεια των πληροφοριών ανάγονται σήμερα σε μείζονα ζητήματα, ιδιαίτερα στις τρέχουσες συνθήκες όπου η ανάπτυξη των επιχειρήσεων βασίζεται στην υιοθέτηση ψηφιακών μέσων και το ψηφιακό μετασχηματισμό. Παράλληλα όμως αυξάνονται οι ψηφιακές απειλές και οι κυβερνοεπιθέσεις, ανεξαρτήτως μεγέθους και κατηγορίας των επιχειρήσεων.
Οι επιχειρήσεις μπορούν να ενισχύσουν την ανθεκτικότητα τους έναντι των ψηφιακών κινδύνων στο κυβερνοχώρο με την υιοθέτηση βέλτιστων πρακτικών και στρατηγικών κυβερνοασφάλειας, όπως αυτές εκφράζονται μέσα από την εφαρμογή ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ISMS). Το πλέον αναγνωρισμένο διεθνώς πρότυπο για την Ασφάλεια Πληροφοριών είναι το ISO27001 και μετά από 9 χρόνια αναθεωρήθηκε.
Η νέα έκδοση του προτύπου ISO/IEC 27001:2022 εκδόθηκε από τον International Organization for Standardization (ISO) στις 25.10.2022. Παράλληλα, από το Φεβρουάριο του 2022 έχει δημοσιευτεί από τον ISO και η αναθεωρημένη έκδοση του ISO27002, που αποτελεί αναπόσπαστο κομμάτι (Annex A) του ISO27001. Το ISO/IEC 27002:2022 είναι το υποστηρικτικό πρότυπο που παρέχει τις κατευθυντήριες γραμμές για την υλοποίηση των Security Controls (Annex A) του ISO27001.
Ποιες είναι οι κύριες αλλαγές στα ISO/IEC 27001:2022 και ISO/IEC 27002:2022
Οι αλλαγές στο ISO/IEC 27001:2022 περιλαμβάνουν:
- Αλλαγή στο όνομα του προτύπου, όπου η αναθεωρημένη έκδοση του 2022 έχει τίτλο “Information security, cybersecurity and privacy protection – Information security management systems – Requirements” σε αντίθεση με την έκδοση 2013 που είχε τίτλο “Information technology – Security techniques – Information security management systems – Requirements”.
- Ο αριθμός σελίδων στην αναθεωρημένη έκδοση του προτύπου είναι 19, σε αντίθεση με τη προηγούμενη έκδοση του προτύπου που ήταν 23.
- Στο Clause2 έχει προστεθεί η παράγραφος c.
- Στο Clause 4.4 έχει προστεθεί η φράση “including the processes needed and their interactions”.
- Στο Clause2 έχουν προστεθεί 2 νέες παράγραφοι, οι παράγραφοι d και g.
- Το Clause3 Planning of changes είναι νέα προσθήκη στην αναθεωρημένη έκδοση του προτύπου.
- Στο Clause4 έχει προστεθεί η παράγραφος d, με ταυτόχρονη κατάργηση των παραγράφων d και e της προηγούμενης έκδοσης.
- To Clause 8.1 έχει εμπλουτιστεί.
- Το Clause2 που αφορά το internal audit, “σπάει” στα 9.2.1 και 9.2.2.
- Το Clause3 που αφορά το management review, “σπάει” στα 9.3.1, 9.3.2 και 9.2.3.
- Έχουν αντιστραφεί τα Clauses1 και 10.2. Πλέον το Clause 10.1 αφορά το Continual improvement και το 10.2 το Nonconformity and corrective action.
Οι αλλαγές στο ISO/IEC 27002:2022 περιλαμβάνουν:
- Τα Security Controls είναι πλέον 93, σε σχέση με τα 114 της προηγούμενης έκδοσης.
- Τα Sections των Security Controls, του Annex A, είναι πλέον 4, σε σχέση με τα 14 της προηγούμενης έκδοσης:
- People (8 controls)
- Organizational (37 controls)
- Technological (34 controls)
- Physical (14 controls)
- Τα 11 νέα Security Controls που προστέθηκαν στο Annex A είναι:
- 5.7 Threat intelligence
- 5.23 Information security for use of cloud services
- 5.30 ICT readiness for business continuity
- 7.4 Physical security monitoring
- 8.9 Configuration management
- 8.10 Information deletion
- 8.11 Data masking
- 8.12 Data leakage prevention
- 8.16 Monitoring activities
- 8.23 Web filtering
- 8.28 Secure coding
- Τα Security Controls έχουν πλέον 5 τύπους χαρακτηριστικών “attributes” για να είναι πιο εύκολη η κατηγοριοποίησή τους:
- Control type (preventive, detective, corrective)
- Information security properties (confidentiality, integrity, availability)
- Cybersecurity concepts (identify, protect, detect, respond, recover)
- Operational capabilities (governance, asset management, etc.)
- Security domains (governance and ecosystem, protection, defence, resilience)
Συμπερασματικά θα λέγαμε ότι οι αλλαγές στις νέες εκδόσεις των προτύπων ISO/IEC 27001:2022 και ISO/IEC 27002:2022 είναι μικρές έως μέτριες αντίστοιχα, σε σχέση με τις προηγούμενες εκδόσεις.
Περίοδος μετάβασης στο ISO/IEC 27001:2022
Κατόπιν απόφασης του International Accreditation Forum (IAF MD 26:2022) καθορίστηκε τριετής μεταβατική περίοδος για την εφαρμογή του προτύπου ISO/IEC 27001:2022. Συγκεκριμένα, ισχύουν τα κάτωθι:
- Έως τις 31.10.2023 μπορούν οι οργανισμοί να πραγματοποιούν αρχικές επιθεωρήσεις πιστοποίησης με τη προηγούμενη έκδοση του προτύπου ISO/IEC 27001:2013 και καθιερώνεται η υποχρεωτική διενέργεια αρχικών επιθεωρήσεων πιστοποίησης μόνο με την έκδοση του προτύπου ISO/IEC 27001:2022.
- Η μεταβατική περίοδος, για τους οργανισμούς που είναι πιστοποιημένοι με την έκδοση του προτύπου ISO/IEC 27001:2013, λήγει στις 31.10.2025.
Πιστοποίηση
Η TÜV AUSTRIA Hellas είναι ένας κορυφαίος και ανεξάρτητος οργανισμός επιθεωρήσεων, τεχνικών ελέγχων, καταρτίσεων και εκπαιδεύσεων που δραστηριοποιείται από το 1872. Η TÜV AUSTRIA Hellas ως εγγυητής του υψηλού επιπέδου επιθεώρησης και πιστοποίησης αποτελεί ουσιαστικό συνεργάτη σε όλους τους οργανισμούς και τις επιχειρήσεις που θέλουν να πιστοποιηθούν στο πιο αναγνωρισμένο διεθνές πρότυπο στην Ασφάλεια Πληροφοριών, το ISO/IEC 27001:2022.