Vesti o najnovijoj reviziji ISO/IEC 27001 i ISO/IEC 27002
☝️
ISO/IEC 27002 je objavljen u februaru ove godine. Zajednički tehnički komitet Međunarodne organizacije za standardizaciju (ISO)/Međunarodne elektrotehničke komisije (IEC), ISO/IEC JTC 1, menja strukturu kontrolnog okvira ISO/IEC 27001/27002 nakon skoro 20 godina.
Tamo gde je verzija ISO/IEC 27002 iz 2013. sadržala 114 kontrola, verzija iz ove godine sadrži samo 93 kontrole.
To ne znači da su neki zahtevi izostavljeni, ali su mnoge veoma opšte kontrole u verziji iz 2013. spojene u jednu kontrolu i dodato je 11 novih kontrola.
Ove kontrole se dodaju jer predstavljaju novi razvoj u industriji cyber i informacione bezbednosti. Zbog holističke prirode standarda i činjenice da novi način opisivanja kontrola ostavlja organizaciji mogućnost da definiše sopstvenu odgovarajuću implementaciju kontrole, ovi novi standardi ISO/IEC 27001:2022 i ISO/IEC 27002:2022 mogu se lako prilagoditi promenjivim operativnim situacijama.
👉
ISO/IEC 27002:2013 sadrži 114 kontrola u 14 domena; ISO/IEC 27002:2022 će sadržati 93 kontrole u 4 domena:
# Poglavlje 5 – Organizacione (ako ne spadaju ni u jedan drugi domen) – 37 kontrola
# Poglavlje 6 – Ljudi (ako se tiču pojedinačnih ljudi) – 8 kontrola
# Poglavlje 7 – Fizičke (ako se tiču fizičkih objekata) – 14 kontrola
# Poglavlje 8 – Tehnološke (ako se tiču tehnologije) – 34 kontrole
👍
Sada postoji 5 kontrolnih atributa za svaku kontrolu:
# Kako kategorisati – preventivno, detektivno, korektivno
# Svojstva bezbednosti informacija – poverljivost, integritet, dostupnost
# Koncepti sajber bezbednosti – identifikujte, zaštitite, otkrijte, odgovorite, oporavite se
# Operativne sposobnosti – governance, upravljanje imovinom, zaštita informacija, bezbednost ljudskih resursa, fizička bezbednost, bezbednost sistema i mreže, bezbednost aplikacija, bezbedna konfiguracija, upravljanje identitetom i pristupom, upravljanje pretnjama i ranjivostima, kontinuitet, bezbednost odnosa sa dobavljačima, zakoni i usklađenost, upravljanje događajima informacione bezbednosti, osiguranje bezbednosti informacija
# Bezbednosni domeni – upravljanje i ekosistem, zaštita, odbrana, otpornost