V současnosti probíhá proces revize ISO/IEC 27001 a ISO/IEC 27002 (aktuální verze byla publikována v roce 2013). Organizace, které se zaměřují na systematický přístup k řízení informační bezpečnosti, už jistě zaregistrovali tuto novinku.
ISO/IEC 27002 je opět navržena tak, aby poskytovala rámec pro řízení bezpečnosti informací (podobně jako například: NIST CSF).
Hlavní změnou, kterou nová verze přináší je sloučení opatření do 4 skupin:
1. Organizační opatření
2. Personální opatření
3. Fyzická opatření
4. Technická opatření
Nových je i několik oblastí, pro které se bude vyžadovat řízení a opatření (v případě, že jsou v organizaci aplikovatelné), například:
Správa hrozeb (Opatření: Informace související s hrozbami informační bezpečnosti by měly být shromažďovány a měly by se analyzovat, aby se vytvořila správa hrozeb.)
Informační bezpečnost při používání cloudových služeb (Opatření: Procesy získávání, používání, správy a ukončení cloudových služeb by měly být vytvořeny v souladu s požadavky organizace na bezpečnost informací.)
Připravenost ICT na kontinuitu podnikání (Opatření: Připravenost ICT by měla být plánovaná, implementována, udržována a testována na základě cílů kontinuity podnikání a požadavků na kontinuitu ICT.)
Monitorování fyzické bezpečnosti (Opatření: Prostory by měly být nepřetržitě monitorovány, aby se předešlo neautorizovanému fyzického přístupu.)
Řízení konfigurace (Opatření: Konfigurace, včetně bezpečnostních konfigurací, hardwaru, softwaru, služeb a sítí, by měly být vytvořeny, zdokumentované, implementovány, monitorovány a přezkoumávány.)
Vymazání informace (Opatření: Informace uložené v informačních systémech a zařízeních by měly být vymazány, pokud již nejsou potřebné.)
Maskování dat (Opatření: Maskování údajů by mělo být používáno v souladu s politikou organizace zaměřenou na řízení přístupu a obchodními požadavky, se zohledněním legislativních požadavků.)
Prevence úniku dat (Opatření: Na systémy, sítě a koncová zařízení, které zpracovávají, uchovávají nebo přenášejí citlivé informace, by měly aplikovat opatření k předcházení úniku dat.)
Monitorovací činnosti (Opatření: V sítích, systémech a aplikacích by se mělo monitorovat neobvyklé chování a měla by být přijata vhodná opatření k vyhodnocení potenciálních incidentů bezpečnosti informací.)
Filtrování webu (Opatření: Přístup k externím webovým stránkám by měl být řízen, aby se snížilo vystavení škodlivému obsahu.)
Bezpečné kódování (Opatření: Na vývoj softwaru by se měly vztahovat zásady bezpečného kódování.)
Zveřejnění nových standardů se předpokládá v závěru roku 2021, nebo začátkem roku 2022.
Následně začne běžet přechodné období. Během tohoto období bude nutné, v případě že má vaše organizace certifikovaný systém informační bezpečnosti, implementovat nové požadavky.
Autor: Martin Kašša, auditor ISO/IEC 27001
(Použité zdroje: ISO/IEC DIS 27002 Information security, Cybersecurity and privacy protection - Information security controls)
| Název školení | Trvání školení | Místo konání | Cena | Nejbližší termín |
|---|---|---|---|---|
| Požadavky normy / Proškolení interních auditorů podle normy ISO/IEC 27001:2022 |
1 den
(8:00 - 14:00)
|
Online |
6 900,00 CZK
8 349,00 CZK s DPH
|
25.11.2024
+ 6
|
| Interní auditor ISO/IEC 27001:2022 a ISO 19011 - systém managementu informační bezpečnosti |
2 dny
(8:00 - 14:00)
|
Online |
8 900,00 CZK
10 769,00 CZK s DPH
|
25.11.2024, 29.11.2024
+ 6
|
| TISAX - Trusted Information Security Assessment Exchange |
2 dny
(8:00 - 14:00)
|
Online |
8 900,00 CZK
10 769,00 CZK s DPH
|
09.12.2024 - 10.12.2024
+ 4
|
| Kybernetická bezpečnost a požadavky normy ISO/IEC 27001 |
2 dny
|
Firemní školení | Na vyžádání |
Podle Vás
|
Pojem proces je v dnešní době velmi populární slovo. Avšak lidé často nevědí, co tento pojem znamená. Víte, co to ten proces vlastně je?
Zobrazit víc
Světový den kvality slavíme každý rok, druhý listopadový čtvrtek. V roce 2024 je to 14. listopad. Tento den se zaměřujeme na důležitost kvality ve všech oblastech našeho života, protože kvalita je neodmyslitelnou součástí našich životů, ať už při výrobě produktů nebo poskytování služeb.
Zobrazit víc
Quishing je novodobý nástroj pro kyberzločince. Je to pokročilá forma phishingového útoku, která zneužívá QR kódy s cílem získat citlivá data, pomocí naskenovaného QR kódu, do vašeho chytrého telefonu. Po naskenování takového kódu QR může uživatel skončit na webu, který se tváří důvěryhodně, ale slouží ke sběru osobních údajů, jako jsou zadání a hesla nebo platební údaje.
Zobrazit víc
V dnešním konkurenčním prostředí se firmy snaží neustále zlepšovat své služby a produkty. Jedním z nástrojů, který jim v tom pomáhá, jsou normy ISO. V tomto článku se zaměříme na čtyři konkrétní normy – ISO 17100, ISO 28000, ISO 18788 a ISO 41001 – a vysvětlíme, proč jsou důležité pro různé oblasti podnikání.
Zobrazit víc
