LexDigital

ISO 27002 - nowa odsłona "starej" normy

Większość osób, która jest zainteresowana wdrożeniem i tym samym podnoszeniem bezpieczeństwa informacji w organizacji, z zasady dobrze zna wymagania wskazane przez normę ISO IEC 27001. Jednak nie zawsze przedsiębiorcy w takim samym stopniu znają i mają wiedzę na temat zapisów, dotyczących bezpieczeństwa informacji, zawartych w normie ISO IEC 27002, która stanowi dopełnienie standardu ISO IEC 27001.

ISO 27002 - nowa odsłona

System Zarządzania Bezpieczeństwem Informacji w oparciu o ISO IEC 27001

ISO IEC 27001 to chyba najbardziej znany standard ISO znajdujący zastosowanie do zarządzania bezpieczeństwem informacji.

Norma ISO/IEC 27001 zapewnia każdej organizacji wytyczne dotyczące tworzenia, wdrażania, utrzymywania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji i stwarza możliwości certyfikacji wdrożonego systemu.

Jeśli w twojej organizacji działa system zarządzania bezpieczeństwem informacji, to z dużą pewnością został on oparty o wymagania i mechanizmy kontrolne ISO IEC 27001. System zarządzania bezpieczeństwem informacji, wdrożony zgodnie z tą normą ma być narzędziem do zarządzania ryzykiem, cyberbezpieczeństwem i zdolnością operacyjną.

Międzynarodowa Organizacja Normalizacyjna wymienia mechanizmy kontrolne w ISO 27002.
Międzynarodowa Organizacja Normalizacyjna wymienia mechanizmy kontrolne w ISO 27002.


Zgodność z normą ISO/IEC 27001 oznacza, że organizacja wdrożyła system kontroli bezpieczeństwa informacji i zarządza ryzykiem w zakresie bezpieczeństwa informacji, a także stosuje wymagane techniki bezpieczeństwa zapewniające m.in. odpowiednie zabezpieczenia w ochronie prywatności takie jak maskowanie danych, bezpieczeństwo cybernetyczne, zapobieganie wyciekom danych, monitorowanie bezpieczeństwa fizycznego, mechanizmy zapewnienia ciągłości działania w bezpieczeństwie informacji.

Do tego zgodność oznacza, że organizacja respektuje wszystkie najlepsze praktyki i zasady zawarte w omawianej Normie Międzynarodowej.

Czym jest norma ISO IEC 27002

Norma ISO 27002 z założenia ma być punktem odniesienia w zakresie wdrażania wymagań dotyczących kontroli bezpieczeństwa informacji w systemie zarządzania bezpieczeństwem informacji (ISMS). Kontrole bezpieczeństwa informacji przedstawione w zakresie ISO IEC 27002 korespondują bezpośrednio z wymaganiami information security normy ISO IEC 27001 zawartymi w załączniku A.

Wytyczne związane z ISO 27002 mogą być także narzędziem związanym z doskonaleniem systemu zarządzania bezpieczeństwem informacji w oparciu o zestaw najlepszych praktyk w obszarze bezpieczeństwa informacji niezależnie od tego, czy organizacja opiera stosowany system o wymagania normy ISO IEC 27001.

Liczba zabezpieczeń w firmie wzrośnie po zastosowaniu ISO 27002.
Liczba zabezpieczeń w firmie wzrośnie po zastosowaniu ISO 27002.


Filozofia normy ISO IEC 27002 bazuje na przekonaniu, że bezpieczeństwo informacji osiąga się poprzez wdrożenie odpowiedniego zestawu kontroli inaczej określanych jako zabezpieczenia, sprowadzających się do stosowania określonych w nomie standardów, zasad, reguł, procesów, procedur, struktur organizacyjnych oraz funkcji oprogramowania i sprzętu.

Aby osiągnąć swoje cele i zagwarantować odpowiednie możliwości operacyjne w zakresie stosowania i wykorzystania kontroli bezpieczeństwa informacji, organizacja powinna zdefiniować, wdrożyć, monitorować, przejrzeć i ulepszyć kontrole wskazane w normie ISO/IEC 27001, w czym pomocne będą dobre praktyki określone w normie ISO IEC 27002. Organizacja winna określić swoje wymagania bezpieczeństwa informacji.

Audyt wewnętrzny - kluczowy przy certyfikacji ISO. Więcej przeczytasz tutaj

Źródła wymagań bezpieczeństwa informacji

Środki bezpieczeństwa powinny zostać zostać wdrożone, poprawione bądź zmodyfikowane.
Środki bezpieczeństwa powinny zostać zostać wdrożone, poprawione bądź zmodyfikowane.


Norma ISO IEC 27002 wskazuje trzy główne źródła wymagań bezpieczeństwa informacji:

a) ocena ryzyka dla organizacji — uwzględniającą strategię i cele organizacji. Ocena ryzyka powinna skutkować wskazaniem reakcji na ryzyko w postaci zabezpieczeń (kontroli) sprowadzających to ryzyko do poziomu akceptowalnego dla organizacji.

b) wymogi prawne, ustawowe, regulacyjne i umowne — oddziałujące na organizację i zainteresowane strony (w tym akcjonariuszy, partnerów, usługodawców) obligujące do stosowania odpowiednich rozwiązań w zakresie bezpieczeństwa informacji.

c) zbiór zasad, celów i wymagań biznesowych — zdefiniowanych przez organizacje na każdym etapie życia informacji w celu wsparcia swojej działalności.

ISO 27002. Wymagania dla ochrony danych.
ISO 27002. Wymagania dla ochrony danych.

Sprawdź nasz artykuł: System zarządzania bezpieczeństwem informacji

Cele stosowania normy ISO 27002

Zaktualizowana Norma ISO IEC 27002 2022 Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności — stanowi referencyjny zestaw ogólnych kontroli bezpieczeństwa informacji (zabezpieczeń informacji) wraz z wytycznymi dotyczącymi ich wdrażania.

Norma ISO IEC 27002 zawierająca najlepsze praktyki bezpieczeństwa informacji powinna być stosowana:

  • w kontekście systemu zarządzania bezpieczeństwem informacji (ISMS) na podstawie ISO 27001
  • do wdrażania zabezpieczeń informacji, niezależnie od wdrożenia jako cel sam w sobie wymagań normy ISO 27001
  • do opracowywania specyficznych dla danej organizacji wytycznych dotyczących zarządzania bezpieczeństwem informacji i przeglądu tego systemu.

Aktualizacja normy ISO IEC 27002

ISO 27002
ISO 27002


ISO 27002. Zmiana tytułu normy

Zaktualizowana norma ISO IEC 27002: 2022 funkcjonująca wcześniej pod nazwą „Technika informatyczna – Techniki bezpieczeństwa – Kodeks postępowania dla kontroli bezpieczeństwa informacji” w obecnym kształcie została zatytułowana jako „Bezpieczeństwo informacji, bezpieczeństwo cybernetyczne i ochrona prywatności – Kontrole bezpieczeństwa informacji”. Nowy tytuł sugeruje od razu, iż położono większy nacisk na zagadnienia cyberbezpieczeństwa oraz ochrony prywatności niż w poprzedniej wersji.

ISO 27002. Technika informatyczna – Techniki bezpieczeństwa, Kodeks Postępowania.
ISO 27002. Technika informatyczna – Techniki bezpieczeństwa, Kodeks Postępowania.


Inne zmiany

Poza zmiana tytułu, nowa odsłona normy ISO IEC 27002: 2022 doczekała się także zmiany samej struktury, m.in. pomniejszono i przeorganizowano kategorie kontroli, poszczególne zabezpieczenia zostały przedstawione za pomocą powiązanych atrybutów, niektóre zabezpieczenia - kontrole bezpieczeństwa informacji - zostały połączone, inne zostały usunięte, wprowadzone zostały także nowe zabezpieczenia.

W nowej wersji ISO 27002 35 zabezpieczeń pozostało bez zmian, zmieniając jedynie numer kontrolny.
W nowej wersji ISO 27002 35 zabezpieczeń pozostało bez zmian, zmieniając jedynie numer kontrolny.


Struktura normy

Zaktualizowana norma opisuje 94 zabezpieczenia zgrupowane w 4 klauzulach:

  • klauzula nr 5 - organizacyjne (37 zabezpieczeń)
  • klauzula nr 6 - osobowe (8 zabezpieczeń)
  • klauzula nr 7 - fizyczne (14 zabezpieczeń)
  • klauzula nr 8 - technologiczne (34 zabezpieczenia)
W zaktualizowanym standardzie zrezygnowano z następujących samodzielnych zabezpieczeń:
  • Postępowanie z aktywami,
  • Wynoszenie aktywów,
  • Zgłaszanie słabości związanych z bezpieczeństwem informacji.
ISO 27002. Struktura.
ISO 27002. Struktura.
ISO IEC 27002 uzupełniono o następujące zabezpieczenia:
  • Analiza zagrożeń,
  • Bezpieczeństwo informacji przy korzystaniu z usług w chmurze,
  • Gotowość teleinformatyczna do zapewnienia ciągłości działania,
  • Monitorowanie bezpieczeństwa fizycznego,
  • Zarządzanie konfiguracją,
  • Usuwanie informacji,
  • Maskowanie danych,
  • Zapobieganie wyciekom danych,
  • Monitorowanie baz danych,
  • Filtrowanie sieci,
  • Bezpieczne kodowanie.
ISO 27002.
ISO 27002.


Atrybuty

W ISO IEC 27002:2022 każde zabezpieczenie jest charakteryzowane pięcioma atrybutami, które umożliwiają szybkie ich klasyfikowanie i przeszukiwanie:

  1. Typy zabezpieczeń
  2. Właściwości bezpieczeństwa informacji
  3. Koncepcje cyberbezpieczeństwa
  4. Możliwości operacyjne
  5. Domeny bezpieczeństwa

Pomimo klasyfikowania oraz filtrowania zabezpieczeń atrybuty pozwalają również na szybkie dopasowanie wyboru kontroli do wspólnego języka branżowego i standardów.

Normy ISO – czyli to, co oczywiste a nieoczywiste. Analiza LexDigital

Wymiar praktyczny normy ISO IEC 27002 2022

Zapewnienie bezpieczeństwa zasobów informacyjnych nie jest gwarantowane bezwarunkowo. Systemy informatyczne w tym ich zarządzanie i eksploatacja nie zawsze są nominalnie wykalibrowane w taki sposób, by spełniać najwyższe wymagania bezpieczeństwa. Odpowiedni poziom bezpieczeństwa, można osiągnąć m.in innymi poprzez stosowanie rozwiązań i dobrych praktyk wskazanych w normie ISO IEC 27002: 2022.

Norma zapewnia, oprócz środków bezpieczeństwa o czysto o technologicznym charakterze także rozwiązania z dziedziny zarządzania i procesów organizacyjnych, które powinny przyczynić się do pełnej odpowiedzi na zidentyfikowane ryzyka czy zagrożenia.

Technika informatyczna, techniki bezpieczeństwa i ochrona danych muszą iść w parze z rozwojem Sieci.
Technika informatyczna, techniki bezpieczeństwa i ochrona danych muszą iść w parze z rozwojem Sieci.


Norma stara się uruchomiać procesy wsparcia w zakresie SZBI także po stronie personelu organizacji oraz mobilizować do działania zainteresowane strony i ekspertów merytorycznych co ma zapewnić kierownictwu organizacji i innym zainteresowanym stronom, że ich informacje i inne powiązane aktywa są co do zasady bezpieczne i odpowiednio chronione przed zidentyfikowanymi zagrożeniami i negatywnymi skutkami, umożliwiając w ten sposób organizacji osiągnięcie określonych celów biznesowych.

Co to jest ISO 9001? Międzynarodowy standard dla zarządzania jakością

Chociaż sama norma ISO 27002 zawiera wytyczne dotyczące szerokiego zakresu kontroli bezpieczeństwa informacji, wdrażając lub doskonaląc system zarządzania bezp. informacji, nie można zapominać o innych normatywach z "rodziny" ISO/IEC 27000, które uzupełniają zawarte w niej zapisy.

Istnieją m.in normy sektorowe, które wskazują dodatkowe zabezpieczenia odnoszące się do poszczególnych obszarów w tym np. ISO/IEC 27017 dla usług w chmurze, ISO/IEC 27701 dla prywatności, ISO/IEC 27019 dla energii, ISO/IEC 27011 dla organizacji telekomunikacyjnych i ISO 27799 dla zdrowia.

ISO 27001. Aktualizacja normy kluczowej dla bezpieczeństwa informacji

Przygotujemy Cię do certyfikacji ISO!

Zespół LexDigital przeprowadzi Cię przez cały proces ustanowienia i wdrożenia systemów zgodnych nie tylko wymogami normy PN-EN ISO/IEC 27001:2023-08, ale także ISO 9001 czy ISO 22301.

Proces obejmuje:

  1. audyt zerowy;
  2. wykonanie analizy ryzyka oraz opracowanie dokumentacji;
  3. implementację zasad oraz szkolenia dla kadry pracowniczej;
  4. weryfikację systemu poprzez audyt wewnętrzny i przegląd zarządzania oraz nadzór nad niezgodnościami i ocenę skuteczności działań korygujących.
LexDigital pomoże Ci w trakcie certyfikacji ISO 27001.
LexDigital pomoże Ci w trakcie certyfikacji ISO 27001.


Poznaj naszą pełną ofertę dotyczącą wdrożeń ISO

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk