ISO/IEC 27001:2022 (új IBIR szabvány) 3. rész

ISO/IEC 27001:2022

Információbiztonság irányítási rendszer (IBIR)

„A” mellékelt változásai (alkalmazhatósági nyilatkozathoz)

„A” mellékeltben történt az igazi változás (vs. ISO/IEC 27002, mint forrás)

A 14 cél (objective) ki lett véve és 4 területet (témát) alkottak.

  • szervezeti szabályozások: 37 kontroll
  • személyi szabályozások (elsősorban munkavállalók és munkavégzéshez köthető személyek): 8 kontroll
  • fizikai (hozzáférés) szab.: 14 kontroll
  • technológiai (IT) szab.: 34 kontroll

Az első két csoport és a második kettő összege kb. egyensúlyban van.

A 114 intézkedésből 93 lett, ebből 11 új! (szivárgás, maszkolás…GDPR fogalmak átültetése)

Új kontrollok:

5.7 Threat intelligence

5.23 Information security for use of cloud services

5.30 ICT readiness for business continuity

7.4 Physical security monitoring

8.9 Configuration management

8.10 Information deletion

8.11 Data masking

8.12 Data leakage prevention

8.16 Monitoring activities

8.23 Web filtering

8.28 Secure coding

Nem szűnt meg a korábbiakból semmi, csak összevonásra kerültek (sok).

1 követelmény szétbontásra került.

Változások (új kontrollok), példák:

5.6 Threat intelligence (Új):

A cél az ISO/IEC 27002-ből ered: a szervezet számára releváns fenyegetéseket ismerjük és legyen felkészült a szervezet a beavatkozásra (pl. hackerek a bankokat támadják, ezt tudjuk àlegyünk készek a megelőzésre)

… gyártók ismert gyengeségei, adatbázisok gyengeségei, mint frissülés-követendő feladat.

5.23 Information security for use of cloud services (Új):

„Processes for acquisition, use, management and exit from cloud services should be established in accordance with the organization’s information security requirements.”

…. csak file-ok letöltése vagy azok kapcsolatának elemzése és megtartása is a feladat?   …pl. MS Azure üzleti intelligencia kiváltása más rendszerrel.

8.10. Információtörlés (új) GDPR-hez kapcsolódó a személyes adatok kezelésének időintervalluma miatt, aminek jogi vagy egyéb jogalapja van.

8.11 Adat maszkolás (új) GDPR-hoz kapcsolódás. Vannak olyan folyamatok, ahol foglalkozni kell a ki, mit láthat kérdésekkel? Személyes adatokat kiemeli, de nem csak ezzel kapcsolatos a feladat. (Általános üzletmenetben nem sok ilyen adatterület van a személyeseken kívül.)

8.16 (új) tevékenység monitorozás: real time logelemzés vagy működő monitoringrendszer

(pl.: security realtime analitikai cégek szolgáltatása, Windows drive költségesebb előfizetése)

(A felhasználó viselkedésének monitorozása: profilelemzés a GDPR-ban!)

MI AZ ALAPJA?

MIT KELL TENNI?

Tegye fel kérdéseid

Bármilyen szabvány vagy folyamat bevezetésére is van szüksége, teljeskörű rendelkezésére állunk az igényfelméréstől, a bevezetésen és az audit felügyeletén át, a munkatársak betanításáig

Kapcsolatfelvételi űrlap (Kapcsolati oldal)