ISO/IEC 27001:2022: Αλλαγές – Περίοδος Μετάβασης – Πιστοποίηση

Η αναθεώρηση – έπειτα από 9 χρόνια – του πλέον αναγνωρισμένου διεθνώς προτύπου για την Ασφάλεια Πληροφοριών – το ISO27001 – είναι μια σημαντική εξέλιξη από αξίζει να αναλύσουμε

Του Θανάση Μητσάκου
Διευθυντής Ελέγχων Συστημάτων Πληροφορικής
TÜV AUSTRIA Hellas – www.tuvaustriahellas.gr

Η ψηφιακή ασφάλεια και η ασφάλεια των πληροφοριών ανάγονται σήμερα σε μείζονα ζητήματα, ιδιαίτερα στις τρέχουσες συνθήκες όπου η ανάπτυξη των επιχειρήσεων βασίζεται στην υιοθέτηση ψηφιακών μέσων και το ψηφιακό μετασχηματισμό. Παράλληλα όμως αυξάνονται οι ψηφιακές απειλές και οι κυβερνοεπιθέσεις, ανεξαρτήτως μεγέθους και κατηγορίας των επιχειρήσεων.

Οι επιχειρήσεις μπορούν να ενισχύσουν την ανθεκτικότητα τους έναντι των ψηφιακών κινδύνων στο κυβερνοχώρο με την υιοθέτηση βέλτιστων πρακτικών και στρατηγικών κυβερνοασφάλειας, όπως αυτές εκφράζονται μέσα από την εφαρμογή ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ISMS). Το πλέον αναγνωρισμένο διεθνώς πρότυπο για την Ασφάλεια Πληροφοριών είναι το ISO27001 και μετά από 9 χρόνια αναθεωρήθηκε.

Η νέα έκδοση του προτύπου ISO/IEC 27001:2022 εκδόθηκε από τον International Organization for Standardization (ISO) στις 25.10.2022. Παράλληλα, από το Φεβρουάριο του 2022 έχει δημοσιευτεί από τον ISO και η αναθεωρημένη έκδοση του ISO27002, που αποτελεί αναπόσπαστο κομμάτι (Annex A) του ISO27001. Το ISO/IEC 27002:2022 είναι το υποστηρικτικό πρότυπο που παρέχει τις κατευθυντήριες γραμμές για την υλοποίηση των Security Controls (Annex A) του ISO27001.

Ποιες είναι οι κύριες αλλαγές στα ISO/IEC 27001:2022 και ISO/IEC 27002:2022

Οι αλλαγές στο ISO/IEC 27001:2022 περιλαμβάνουν:

Αλλαγή στο όνομα του προτύπου, όπου η αναθεωρημένη έκδοση του 2022 έχει τίτλο “Information security, cybersecurity and privacy protection – Information security management systems – Requirements” σε αντίθεση με την έκδοση 2013 που είχε τίτλο “Information technology – Security techniques – Information security management systems – Requirements”.
Ο αριθμός σελίδων στην αναθεωρημένη έκδοση του προτύπου είναι 19, σε αντίθεση με τη προηγούμενη έκδοση του προτύπου που ήταν 23.
Στο Clause2 έχει προστεθεί η παράγραφος c.
Στο Clause 4.4 έχει προστεθεί η φράση “including the processes needed and their interactions”.
Στο Clause2 έχουν προστεθεί 2 νέες παράγραφοι, οι παράγραφοι d και g.
Το Clause3 Planning of changes είναι νέα προσθήκη στην αναθεωρημένη έκδοση του προτύπου.
Στο Clause4 έχει προστεθεί η παράγραφος d, με ταυτόχρονη κατάργηση των παραγράφων d και e της προηγούμενης έκδοσης.
To Clause 8.1 έχει εμπλουτιστεί.
Το Clause2 που αφορά το internal audit, “σπάει” στα 9.2.1 και 9.2.2.
Το Clause3 που αφορά το management review, “σπάει” στα 9.3.1, 9.3.2 και 9.2.3.
Έχουν αντιστραφεί τα Clauses1 και 10.2. Πλέον το Clause 10.1 αφορά το Continual improvement και το 10.2 το Nonconformity and corrective action.

Οι αλλαγές στο ISO/IEC 27002:2022 περιλαμβάνουν:

Τα Security Controls είναι πλέον 93, σε σχέση με τα 114 της προηγούμενης έκδοσης.
Τα Sections των Security Controls, του Annex A, είναι πλέον 4, σε σχέση με τα 14 της προηγούμενης έκδοσης:
- People (8 controls)
- Organizational (37 controls)
- Technological (34 controls)
- Physical (14 controls)
Τα 11 νέα Security Controls που προστέθηκαν στο Annex A είναι:
- 5.7 Threat intelligence
- 5.23 Information security for use of cloud services
- 5.30 ICT readiness for business continuity
- 7.4 Physical security monitoring
- 8.9 Configuration management
- 8.10 Information deletion
- 8.11 Data masking
- 8.12 Data leakage prevention
- 8.16 Monitoring activities
- 8.23 Web filtering
- 8.28 Secure coding
Τα Security Controls έχουν πλέον 5 τύπους χαρακτηριστικών “attributes” για να είναι πιο εύκολη η κατηγοριοποίησή τους:
- Control type (preventive, detective, corrective)
- Information security properties (confidentiality, integrity, availability)
- Cybersecurity concepts (identify, protect, detect, respond, recover)
- Operational capabilities (governance, asset management, etc.)
- Security domains (governance and ecosystem, protection, defence, resilience)

Συμπερασματικά θα λέγαμε ότι οι αλλαγές στις νέες εκδόσεις των προτύπων ISO/IEC 27001:2022 και ISO/IEC 27002:2022 είναι μικρές έως μέτριες αντίστοιχα, σε σχέση με τις προηγούμενες εκδόσεις.

Περίοδος μετάβασης στο ISO/IEC 27001:2022

Κατόπιν απόφασης του International Accreditation Forum (IAF MD 26:2022) καθορίστηκε τριετής μεταβατική περίοδος για την εφαρμογή του προτύπου ISO/IEC 27001:2022. Συγκεκριμένα, ισχύουν τα κάτωθι:

Έως τις 31.10.2023 μπορούν οι οργανισμοί να πραγματοποιούν αρχικές επιθεωρήσεις πιστοποίησης με τη προηγούμενη έκδοση του προτύπου ISO/IEC 27001:2013 και καθιερώνεται η υποχρεωτική διενέργεια αρχικών επιθεωρήσεων πιστοποίησης μόνο με την έκδοση του προτύπου ISO/IEC 27001:2022.
Η μεταβατική περίοδος, για τους οργανισμούς που είναι πιστοποιημένοι με την έκδοση του προτύπου ISO/IEC 27001:2013, λήγει στις 31.10.2025.

Πιστοποίηση

Η TÜV AUSTRIA Hellas είναι ένας κορυφαίος και ανεξάρτητος οργανισμός επιθεωρήσεων, τεχνικών ελέγχων, καταρτίσεων και εκπαιδεύσεων που δραστηριοποιείται από το 1872. Η TÜV AUSTRIA Hellas ως εγγυητής του υψηλού επιπέδου επιθεώρησης και πιστοποίησης αποτελεί ουσιαστικό συνεργάτη σε όλους τους οργανισμούς και τις επιχειρήσεις που θέλουν να πιστοποιηθούν στο πιο αναγνωρισμένο διεθνές πρότυπο στην Ασφάλεια Πληροφοριών, το ISO/IEC 27001:2022.

Αναζητώντας τα όρια της προσωπικής ευθύνης της ανώτατης διοίκησης

Η PeS Cybersecurity και η Proofpoint μοιράζονται το όραμα τους για μια ανθρωποκεντρική προσέγγιση στην κυβερνοασφάλεια

Ο Security Leader σήμερα έχει και το ρόλο του coach για την ομάδα του!

The State of Cybersecurity 2024 by Pylones Hellas – Αποτελέσματα και Συμπεράσματα |

« 1 αρκεί! » …it only takes one

Κυβερνοασφάλεια για Όλους!

Μικρομεσαίες επιχειρήσεις και κανονιστική συμμόρφωση: ένας αγώνας με σημαντικό έπαθλο

Ευαισθητοποίηση σε Θέματα Ψηφιακής Ασφάλειας: Προτάσεις και Λύσεις για Μικρομεσαίες Επιχειρήσεις

Κυβερνοασφάλεια για τις ΜΜΕ με την Ακαδημία Logstail

Ποια είναι η λύση κυβερνοασφάλειας για εταιρείες με περιορισμένους πόρους: Το MDR!

SMB security made real: Α Fortinet SASE & SOCaaS story

Μικρές και Μεσαίες Επιχειρήσεις: Ο Κύριος Στόχος των Κυβερνοεπιθέσεων Λόγω της Αντιλαμβανόμενης Ευπάθειάς τους

ESET: Ασφάλεια για Όλους – Προστατεύοντας τις μικρές και μεσαίες επιχειρήσεις

WatchGuard ThreatSync + NDR, μία ολοκληρωμένη λύση NDR που απευθύνεται τόσο σε μεγάλα όσο και σε μικρομεσαία δίκτυα

Οι μικρές και μεσαίες εταιρίες δεν απειλούνται από τις κυβερνοεπιθέσεις;

Θωρακίζοντας την επιχείρησή σας στην ψηφιακή εποχή

Εκπαίδευση Ευαισθητοποίησης αντιμετώπισης του phishing

Hybrid Multi-Cloud Υποδομή: Νέες προσεγγίσεις στην ασφάλεια

Η KELA και η Ολοκληρωμένη Προσέγγιση της NIS2

Είναι η Κοινωνική Μηχανική μια Νέα Μορφή Επιθέσεων Μηδενικής Ημέρας (Zero-Day);

Η σημασία του CISO στο Διοικητικό Συμβούλιο

Η Σημασία της Αναφοράς Περιστατικών Κυβερνοασφάλειας από τους Εργαζομένους

Μια οργανική προσέγγιση στο IT Security εμπνευσμένη από τις κοσμοθεωρίες ιθαγενών

Το μέλλον των αδειών λογισμικού: Τάσεις και προβλέψεις για την εξέλιξη των μοντέλων αδειοδότησης λογισμικού τα επόμενα χρόνια

Ο αριθμός των επιθέσεων μέσω email που εντοπίστηκαν στον κυβερνοχώρο αυξήθηκε κατά 239% το 1ο εξάμηνο του 2024

Η Στρατηγική Σημασία της Κυβερνοασφάλειας για τις Ένοπλες Δυνάμεις

Προληπτική άμυνα και στρατηγική ανάκαμψη για την ενίσχυση της ανθεκτικότητας στον κυβερνοχώρο

ISO/IEC 27001:2022: Αλλαγές – Περίοδος Μετάβασης – Πιστοποίηση

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

Η TÜV AUSTRIA στην Ελλάδα Γιορτάζει 30 Χρόνια Αριστείας και Ανάπτυξης

Η TÜV AUSTRIA Trust IT ανακοινώνει νέες στρατηγικές συνεργασίες με κορυφαίες εταιρίες στον κλάδο της Ναυτιλίας και της Βιομηχανίας

TÜV AUSTRIA TRUST IT: Νέα Εποχή στην Κυβερνοασφάλεια