Snežienkova 1/A, 971 01 Prievidza
SK
CS

Čo môžeme očakávať od novej revízie ISO/IEC 27001 a ISO/IEC 27002?

KATEGÓRIA

 

V súčasnosti prebieha proces revízie ISO/IEC 27001 a ISO/IEC 27002 (aktuálna verzia bola publikovaná v roku 2013). Organizácie, ktoré sa zameriavajú na systematický prístup k riadeniu informačnej bezpečnosti, už iste zaregistrovali túto novinku.

 

ISO/IEC 27002 je opäť navrhnutá tak, aby poskytovala rámec pre riadenie bezpečnosti informácií (podobne ako, napríklad: NIST CSF).

 

Hlavné zmeny, ktoré nová verzia prináša je zlúčenie opatrení do 4 skupín:

1. Organizačné opatrenia

2. Personálne opatrenia

3. Fyzické opatrenia

4. Technické opatrenia

 

Nových je aj niekoľko oblastí, pre ktoré sa bude vyžadovať riadenie a opatrenia (v prípade, že sú v organizácii aplikovateľné), napríklad:

Správa hrozieb (Opatrenie: Informácie súvisiace s hrozbami informačnej bezpečnosti by sa mali zhromažďovať a analyzovať, aby sa vytvorila správa hrozieb.)

Informačná bezpečnosť pri používaní cloudových služieb (Opatrenie: Procesy získavania, používania, správy a ukončenia cloudových služieb by mali byť vytvorené v súlade s požiadavkami organizácie na bezpečnosť informácií.)

Pripravenosť ICT na kontinuitu podnikania (Opatrenie: Pripravenosť ICT by mala byť plánovaná, implementovaná, udržiavaná a testovaná na základe cieľov kontinuity podnikania a požiadaviek na kontinuitu ICT.)

Monitorovanie fyzickej bezpečnosti (Opatrenie: Priestory by mali byť nepretržite monitorované, aby sa predišlo neautorizovanému fyzického prístupu.)

Riadenie konfigurácie (Opatrenie: Konfigurácie, vrátane bezpečnostných konfigurácií, hardvéru, softvéru, služieb, a sietí, by mali byť vytvorené, zdokumentované, implementované, monitorované a preskúmavané.)

Vymazanie informácie (Opatrenie: Informácie uložené v informačných systémoch a zariadeniach by mali byť vymazané, ak už nie sú potrebné.)

Maskovanie údajov (Opatrenie: Maskovanie údajov by sa malo používať v súlade s politikou organizácie zameranou na riadenie prístupu a obchodnými požiadavkami, so zohľadnením legislatívnych požiadaviek.)

Prevencia úniku údajov (Opatrenie: Na systémy, siete a koncové zariadenia, ktoré spracúvajú, uchovávajú alebo prenášajú citlivé informácie, by sa mali aplikovať opatrenia na predchádzanie úniku údajov.)

Monitorovacie činnosti (Opatrenie: V sieťach, systémoch a aplikáciách by sa malo monitorovať neobvyklé správanie a mali by sa prijať vhodné opatrenia na vyhodnotenie potenciálnych incidentov bezpečnosti informácií.)

Filtrovanie webu (Opatrenie: Prístup k externým webovým stránkam by mal byť riadený, aby sa znížilo vystavenie škodlivému obsahu.)

Bezpečné kódovanie (Opatrenie: Na vývoj softvéru by sa mali vzťahovať zásady bezpečného kódovania.)

 

Zverejnenie nových štandardov sa predpokladá v závere roka 2021, alebo v začiatkom roka 2022.

 

Následne začne plynúť prechodné obdobie. Počas tohto obdobia bude potrebné, v prípade že má vaša organizácia certifikovaný systém informačnej bezpečnosti, implementovať nové požiadavky.

 

Autor: Martin Kašša, audítor ISO/IEC 27001

 

(použité zdroje: ISO/IEC DIS 27002 Information security, cybersecurity and privacy protection — Information security controls)

Odporúčané školenia:

Názov školenia Trvanie školenia Miesto konania Cena Najbližší termín
2 dni (8:00 - 14:00)
Online 359,00 €
430,80 € s DPH
28.11.2022 - 29.11.2022 + 4
2 dni (8:00 - 14:00)
Online 359,00 €
430,80 € s DPH
05.12.2022, 09.12.2022 + 6
1 deň (8:00 - 14:00)
Online 279,00 €
334,80 € s DPH
05.12.2022 + 6
2 dni
Firemné školenie Na vyžiadanie
Podľa Vás

Mohlo by Vás zaujímať:

Podobné články

Čo je integrovaný systém manažérstva?

Čo je integrovaný systém manažérstva?

KATEGÓRIA

Tento článok je venovaný spoločnostiam, ktoré by chceli zavádzať štandardy ISO a nie sú pevne rozhodnuté akým smerom sa chcú vybrať. Predpokladajme, že chcete svoju organizáciu certifikovať podľa viacerých štandardov ISO. Alebo je vaša organizácia už certifikovaná podľa jednej normy ISO a chcete dosiahnuť certifikáciu viacerých systémov manažérstva.

Zobraziť viac
Kto je etický hacker a čo je jeho prácou

Kto je etický hacker a čo je jeho prácou

KATEGÓRIA

Slová ako hacker alebo etický hacker sa v spoločnosti skloňujú každým dňom viac a viac. Mnoho ľudí však stále nevie čo hackerstvo znamená a aký je rozdiel medzi hackerom a etickým hackerom. Predtým než si vysvetlíme čo je etické hackerstvo si najskôr musíme povedať základné rozdelenie hackerov.

Zobraziť viac
Sprievodca riadením projektového manažmentu! (1.časť)

Sprievodca riadením projektového manažmentu! (1.časť)

KATEGÓRIA

Každý projekt má požiadavky, čo znamená, že každý projektový manažér by mal mať pripravený plán riadenia požiadaviek. Ako to funguje? Aké sú typy projektových požiadaviek? Čo je riadenie požiadaviek? Všetko sa dozviete v našom novom blogu.

Zobraziť viac
Ako sa dá zvládnuť stres?

Ako sa dá zvládnuť stres?

KATEGÓRIA

Stres môže človeka pohltiť do takej miery, že sa odpojí od svojich každodenných činností, povinností, rodiny, priateľov a blízkych. Všetci sa každý deň stretávame s určitým množstvom stresu, ale zvyčajne sa s ním dokážeme vyrovnať a pokračovať v tom, čo je potrebné urobiť. Vysoká úroveň stresu môže mať negatívny vplyv na vaše zdravie, vzťahy alebo kvalitu života! Ako sa ho naučiť zvládať?

Zobraziť viac

Newsletter