tehnoloogiajuht.ee

Mis muutus standardi ISO 27001: 2022 versioonis?

Mis muutus 2022 versioonis?

  • Standardi põhiosa (punktid 4-10) on muutunud vähesel määral.
  • Muutused on peamiselt Lisa A toodud meetmetes ja need on ka mõõdukad.
  • Kontrollide/ turvameetmete arv vähenes 114-lt 93-le.
  • Kontrollid/ turvameetmed jaotatati 4 sektsiooni, varasema 14 asemel.
  • Lisatakse 11 uut kontrolli/ turvameedet, ühtegi ei kustutattud kuid mõned neist liideti.

Peamised muudtused standrdi põhiosas:

  • Klauslis 4.2 (Huvitatud osapoolte vajaduste ja ootuste mõistmine) lisati punkt (c), mis nõuab huvitatud osapoolte nõuete analüüsi, mida tuleb ISMS-i kaudu lahendada.
  • Klauslis 4.4 (Infoturbe juhtimissüsteem) lisati fraas, mis nõuab ISMS-i osana protsesside ja nende vastastikmõjude planeerimist.
  • Klauslis 5.1 (Juhtkonna pühendumus) lisati fraas, mis nõuab juhtkonna vastutust ISMS-i tulemuste eest.
  • Klauslis 6.1.3 (Infoturbe riskide hindamine) lisati punkt (f), mis nõuab infoturbe riskide hindamise meetodite dokumenteerimist.
  • Klauslis 7.1 (Ressursid) lisati punkt (d), mis nõuab ressursside piisavuse hindamist ja säilitamist.
  • Klauslis 7.5 (Dokumenteeritud teave) lisati punkt (f), mis nõuab dokumenteeritud teabe säilitamise perioodide kindlaksmääramist ja dokumenteeritud teabe hävitamist pärast säilitamise perioodi lõppu.
  • Klauslis 8.1 (Operatsioonide planeerimine ja kontroll) lisati punkt (g), mis nõuab infoturbe juhtimissüsteemi tulemuslikkuse jälgimist ja mõõtmist.
  • Klauslis 8.3 (Muutuste juhtimine) lisati punkt (c), mis nõuab muutuste mõju hindamist infoturbele.
  • Klauslis 9.1 (Monitooring, mõõtmine, analüüs ja hindamine) lisati punkt (d), mis nõuab infoturbe järelevalve tulemuste dokumenteerimist.
  • Klauslis 9.3 (Juhtkonna ülevaatus) laiendati sisendite ja tulemuste nõudeid.

Lisa A grupeeriti ümber teemad:

  • A.5 Organisatsioonilised kontrollid – sisaldab 37 turvameedet
  • A.6 Inimkontrollid – sisaldab 8 turvameedet
  • A.7 Füüsilised kontrollid – sisaldab 14 turvameedet
  • A.8 Tehnoloogilised kontrollid – sisaldab 34 turvameedet

Lisa A lisati juurde järgnevad kontrollid/ turvameetmed:

  • A. 5.7 Ohuteabe hankimine
  • A.5.23 Infoturbe tagamine pilveteenuste kasutamisel
  • A. 5.30 Äritegevuse järjepidevuse tagamiseks vajalik IKT valmisolek
  • A.7.4 Füüsiline turvajälgimine
  • A.8.9 Konfiguratsioonihaldus
  • A 8.10 Info kustutamine
  • A. 8.11 Andmemaskimine
  • A. 8.12 Andmelekke ennetamine
  • A. 8.16 Tegevuste jälgimine
  • A.8.23 Veebi filtreerimine
  • A.8.28 Turvaline kood

Milline on ajakava?

  • Standard uus versioon avaldati 25.10.2022.
  • Üleminekuperiood on 3 aastat.
  • Kõik ISO/IEC 27001:2022 üleminekud peavad olema lõpetatud 01.11.2025.
  • Sertifitseeritud ettevõtted saavad üle minna spetsiaalse vaheauditi kaudu.
  • Alates 31.10.2023 ei saa teha taotlust ISO27001:2013 sertifitseerimiseks.
  • Alates 01.11.2025 on kehtivad ainult ISO/IEC 27001:2022 standards.

Kuidas sujuvalt üle minna?

  • Hankige uus ingliskeelne standard ja tutvuge nõuetega. Eestikeelne standard ilmub märtsis 2024. Link standardile https://www.evs.ee/et/evs-en-iso-iec-27001-2023.
  • Värskendage kontrolle/ turvameetmeid, poliitikaid, protseduure ja süsteeme uuele versioonile vastavaks.
  • Looge plaan ning rakendage muudatused vastavuse tagamiseks.

Tegutse nüüd!

Ära oota viimast hetke! Head nõu ja ülemineku toetuseks võite pöörduda ka meie poole.

Margus Tammoja