Snežienkova 1/A, 971 01 Prievidza
SK
CS
Online školenia - Všetky školenia je možné absolvovať online! Využite 30% zľavu na vybrané školenia! Všetky informácie nájdete v aktualitách.

Čo môžeme očakávať od novej revízie ISO/IEC 27001 a ISO/IEC 27002?

KATEGÓRIA

 

V súčasnosti prebieha proces revízie ISO/IEC 27001 a ISO/IEC 27002 (aktuálna verzia bola publikovaná v roku 2013). Organizácie, ktoré sa zameriavajú na systematický prístup k riadeniu informačnej bezpečnosti, už iste zaregistrovali túto novinku.

 

ISO/IEC 27002 je opäť navrhnutá tak, aby poskytovala rámec pre riadenie bezpečnosti informácií (podobne ako, napríklad: NIST CSF).

 

Hlavné zmeny, ktoré nová verzia prináša je zlúčenie opatrení do 4 skupín:

1. Organizačné opatrenia

2. Personálne opatrenia

3. Fyzické opatrenia

4. Technické opatrenia

 

Nových je aj niekoľko oblastí, pre ktoré sa bude vyžadovať riadenie a opatrenia (v prípade, že sú v organizácii aplikovateľné), napríklad:

Správa hrozieb (Opatrenie: Informácie súvisiace s hrozbami informačnej bezpečnosti by sa mali zhromažďovať a analyzovať, aby sa vytvorila správa hrozieb.)

Informačná bezpečnosť pri používaní cloudových služieb (Opatrenie: Procesy získavania, používania, správy a ukončenia cloudových služieb by mali byť vytvorené v súlade s požiadavkami organizácie na bezpečnosť informácií.)

Pripravenosť ICT na kontinuitu podnikania (Opatrenie: Pripravenosť ICT by mala byť plánovaná, implementovaná, udržiavaná a testovaná na základe cieľov kontinuity podnikania a požiadaviek na kontinuitu ICT.)

Monitorovanie fyzickej bezpečnosti (Opatrenie: Priestory by mali byť nepretržite monitorované, aby sa predišlo neautorizovanému fyzického prístupu.)

Riadenie konfigurácie (Opatrenie: Konfigurácie, vrátane bezpečnostných konfigurácií, hardvéru, softvéru, služieb, a sietí, by mali byť vytvorené, zdokumentované, implementované, monitorované a preskúmavané.)

Vymazanie informácie (Opatrenie: Informácie uložené v informačných systémoch a zariadeniach by mali byť vymazané, ak už nie sú potrebné.)

Maskovanie údajov (Opatrenie: Maskovanie údajov by sa malo používať v súlade s politikou organizácie zameranou na riadenie prístupu a obchodnými požiadavkami, so zohľadnením legislatívnych požiadaviek.)

Prevencia úniku údajov (Opatrenie: Na systémy, siete a koncové zariadenia, ktoré spracúvajú, uchovávajú alebo prenášajú citlivé informácie, by sa mali aplikovať opatrenia na predchádzanie úniku údajov.)

Monitorovacie činnosti (Opatrenie: V sieťach, systémoch a aplikáciách by sa malo monitorovať neobvyklé správanie a mali by sa prijať vhodné opatrenia na vyhodnotenie potenciálnych incidentov bezpečnosti informácií.)

Filtrovanie webu (Opatrenie: Prístup k externým webovým stránkam by mal byť riadený, aby sa znížilo vystavenie škodlivému obsahu.)

Bezpečné kódovanie (Opatrenie: Na vývoj softvéru by sa mali vzťahovať zásady bezpečného kódovania.)

 

Zverejnenie nových štandardov sa predpokladá v závere roka 2021, alebo v začiatkom roka 2022.

 

Následne začne plynúť prechodné obdobie. Počas tohto obdobia bude potrebné, v prípade že má vaša organizácia certifikovaný systém informačnej bezpečnosti, implementovať nové požiadavky.

 

Autor: Martin Kašša, audítor ISO/IEC 27001

 

(použité zdroje: ISO/IEC DIS 27002 Information security, cybersecurity and privacy protection — Information security controls)

Odporúčané školenia:

Názov školenia Trvanie školenia Miesto konania Cena Najbližší termín
2 dni (8:00 - 12:00)
Zľava -30 % Online 500,00 € 350,00 €
420,00 € s DPH
16.11.2021, 26.11.2021
2 dni
Firemné školenie Na vyžiadanie
Podľa Vás
2 dni
Firemné školenie Na vyžiadanie
Podľa Vás

Mohlo by Vás zaujímať:

Podobné články

Čo nás vedie k úspešnému napredovaniu pri ISO certifikácií?

Čo nás vedie k úspešnému napredovaniu pri ISO certifikácií?

KATEGÓRIA

Aby ste si udržali svoju certifikáciu a zodpovedali požiadavkám noriem ISO (s cieľom dosiahnuť každoročne úspešné výsledky auditu), musíte pravidelne vykonávať niekoľko činností. Akékoľvek zistené „slabiny“ vo vašom systéme manažérstva môžu mať za následok zásadné systémové alebo drobné nezhody.

Zobraziť viac
Talent management - práca s talentami

Talent management - práca s talentami

KATEGÓRIA

Aktuálne riešime menší projekt „talent manažmentu“ zameraný na mladých lekárov v jednej českej fakultnej nemocnici. Do takejto výzvy je potrebné priniesť veľkú chuť bojovať s veternými mlynmi podporenú najmä silným kritickým myslením a asertivitou nemeckého poľovníckeho teriéra. Načo sú dobré tieto vlastnosti? No predsa na to, aby ste dokázali otvorene povedať, čo si myslíte a narúšať hegemóniu lekárskej kasty. Veď lekári sa predsa nemôžu mýliť a už vôbec sa nemusia správať empaticky. To, že sa na tomto pracovisku objavuje dokonca aj mobbing zo strany vedúcich lekárov, sa mi v roku 2021 javí ako čistý výmysel neoprávnene kritizovaného podriadeného. Žiaľ, je to realita.

Zobraziť viac
Dosiahli sme certifikáciu ISO, ale čo ďalej?

Dosiahli sme certifikáciu ISO, ale čo ďalej?

KATEGÓRIA

Získanie certifikátu ISO pre podnikateľa alebo váš biznis nie je vždy ľahká úloha. Ktokoľvek, kto si už týmto procesom prešiel, to môže potvrdiť, pretože tento proces môže byť veľmi pracný a zdĺhavý. Po získaní certifikácie ISO majú ľudia tendenciu chcieť si od projektu oddýchnuť a potom nechtiac zabudnú na daný systém manažérstva a nechajú ho bez aktualizácií a nezasahujú doňho aj niekoľko mesiacov, pričom sa približuje čas prvého dozorného auditu, ktorý zvykne skôr prekvapiť, a požiadavky normy ako zvykneme hovoriť „sa šijú za horúca.“ Ako môžete zabrániť tomuto scenáru vo vašom podnikaní? Poďme si predstaviť, čo musíte urobiť, keď vaša firma dosiahne certifikáciu ISO.

Zobraziť viac
ISO 22301 - Systematický prístup k ochrane, aj vášho, biznisu

ISO 22301 - Systematický prístup k ochrane, aj vášho, biznisu

KATEGÓRIA

V poslednom čase sa nám začali hromadiť udalosti, na ktoré sme v našich zemepisných šírkach neboli zvyknutí. Okrem pandémie sme určite všetci zachytili tornádo na Morave a ďalšie extrémne meteorologické javy. Norma ISO 22301 špecifikuje požiadavky a pravidlá pre zabezpečenie kontinuity v podnikaní a pomáha spoločnostiam k rýchlemu zotaveniu v prípade nepredvídateľných udalostí. Jej cieľom je pripraviť spoločnosti a chrániť ich v prípade ak nastane takáto mimoriadna nepredvídaná udalosť.

Zobraziť viac

Newsletter