Οι προστιθέμενης αξίας επιχειρηματικές διαδικασίες καθοδηγούνται από πληροφορίες και δεδομένα. Στην ψηφιακή οικονομία του σήμερα, τίποτα δεν λειτουργεί χωρίς ανταλλαγή πληροφοριών. Από την άλλη, η προστασία των καθημερινών λειτουργιών που βασίζονται σε πληροφορίες, κρίσιμων δεδομένων και πνευματικής ιδιοκτησίας από απειλές στον κυβερνοχώρο είναι επιτακτική για τις επιχειρήσεις κάθε μεγέθους. Σε αυτήν την εποχή των βιομηχανοποιημένων κυβερνοεπιθέσεων, η προσαρμογή στους διαρκώς μεταβαλλόμενους κινδύνους για την ασφάλεια των πληροφοριών απαιτεί μια έγκαιρη και ευέλικτη προσέγγιση για την οικοδόμηση της ανθεκτικότητας των επιχειρήσεων.
Και εδώ ακριβώς έρχεται το νέο ISO/IEC 27001:2022 με έμφαση στον προσανατολισμό της διαδικασίας στη διαχείριση της ασφάλειας των πληροφοριών.
Για περισσότερες από δύο δεκαετίες, το ISO 27001 αποτελεί μια καθιερωμένη, αλλά γερασμένη, βάση συστημάτων διαχείρισης ασφάλειας πληροφοριών. Έτσι, στο πλαίσιο της αυξανόμενης ζήτησης για ένα σύγχρονο πλαίσιο αξιολόγησης ασφάλειας πληροφοριών, το νέο ISO/IEC 27001:2022 δημοσιεύτηκε στις 25 Οκτωβρίου 2022.
ISO 27001:2022 | Τι αλλάζει;
Το ISO 27001 περιγράφει το πλαίσιο ενός συστήματος διαχείρισης ασφάλειας πληροφοριών (ISMS) ανεξαρτήτως από την οργανωτική δομή, το μέγεθος ή τον προσανατολισμό μιας εταιρείας. Βασικό στοιχείο είναι η διαχείριση των κινδύνων. Οι μεταβαλλόμενες απειλές στον κυβερνοχώρο εκμεταλλεύονται συνεχώς νέες πιθανές «ευπάθειες» των εταιρείες με στόχο την απώλεια ή διαρροή πληροφοριών.
Η νέα έκδοση του ISO/IEC 27001:2022 αφορά στις βέλτιστες πρακτικές για τη διαχείριση αυτών των κινδύνων ασφάλειας πληροφοριών. Παράλληλα, έχει δημοσιευτεί και η αναθεωρημένη έκδοση του ISO27002, που αποτελεί αναπόσπαστο κομμάτι (Annex A) του ISO27001. Το ISO/IEC 27002:2022 είναι το υποστηρικτικό πρότυπο που παρέχει τις κατευθυντήριες γραμμές για την υλοποίηση των Security Controls (Annex A) του ISO27001.
Άλλη μία σημαντική αλλαγή στο νέο ISO/IEC 27001:2022 είναι ότι, με την προσαρμογή στη λεγόμενη Εναρμονισμένη Δομή, η μακροπρόθεσμη απαίτηση για προσανατολισμό στις διαδικασίες τίθεται στο επίκεντρο ενός αποτελεσματικού ISMS. Η βάση των αποτελεσματικών συστημάτων διαχείρισης είναι οι σαφείς διαδικασίες και οι αλληλεπιδράσεις τους καθώς και τα στοχοθετημένα κριτήρια για τον έλεγχό τους.
Από τη Δομή Υψηλού Επιπέδου στην Εναρμονισμένη Δομή
Από τον Μάιο του 2021, την προηγούμενη Δομή Υψηλού Επιπέδου (HLS) διαδέχεται η Εναρμονισμένη Δομή (HS), βασική πλέον δομή και πρότυπο για την ανάπτυξη νέων και μελλοντικών αναθεωρήσεων των υφιστάμενων προτύπων συστημάτων διαχείρισης ISO.
Συγκεκριμένα στο ISO/IEC 27001:2022, η απαίτηση 6.3 απαιτεί οι αλλαγές στο ISMS να εφαρμόζονται με προγραμματισμένο τρόπο. Αυτή η απαίτηση είναι γνωστή από άλλα συστήματα διαχείρισης και εκφράζει την προσδοκία ότι μια αλλαγή στο ISMS έχει κατακτηθεί. Π.χ., η μετάβαση από το ISO/IEC 27001:2013 στο νέο ISO/IEC 27001:2022 αποτελεί αλλαγή στο ISMS που θα πρέπει να εφαρμοστεί με προγραμματισμένο τρόπο, λαμβάνοντας υπ’ όψιν τις όποιες επιπτώσεις και αλληλεπιδράσεις.
Κανονιστικές αλλαγές στο ISO/IEC 27001:2022
Μια πολύ σημαντική αλλαγή αποτελεί αυτή της παραγράφου 4.4 σχετικά με το πλαίσιο λειτουργίας του οργανισμού, με την απαίτηση να εντοπίζονται οι απαραίτητες διαδικασίες και οι αλληλεπιδράσεις τους που απαιτούνται για την εφαρμογή και τη συντήρησή του ISMS. Η ρητή αυτή απαίτηση ευθυγραμμίζει το ISO/IEC 27001:2022 με τις βέλτιστες πρακτικές άλλων συστημάτων διαχείρισης σύμφωνα με το HS. Το σύστημα διαχείρισης ασφάλειας πληροφοριών πρέπει να βασίζεται σε καθιερωμένες, ανιχνεύσιμες διαδικασίες και τις αλληλεπιδράσεις τους. Οι έλεγχοι ασφάλειας πληροφοριών του Παραρτήματος Α στη συνέχεια σχεδιάζονται και προσαρμόζονται γύρω από αυτές τις διαδικασίες.
Στην παράγραφο 8.1 τονίζεται η σημασία του προσανατολισμού στις διαδικασίες, ο οποίος είναι κοινός σε όλα τα συστήματα διαχείρισης που βασίζονται σε HS. Οι οργανισμοί πρέπει να ακολουθούν διαδικασίες ως μέρος του επιχειρησιακού σχεδιασμού και ελέγχου τους, προκειμένου να εφαρμόζουν μέτρα σχετικά με τη διαχείριση των κινδύνων ασφάλειας των πληροφοριών. Η αλλαγή αφορά στον καθορισμό κριτηρίων διαδικασιών, βάσει των οποίων θα γίνεται και ο έλεγχος τους.
Μικρότερες αλλαγές έχουν γίνει και στις παραγράφους:
- 5.3 |ότι οι σχετικές με την ασφάλεια των πληροφοριών αρμοδιότητες & ρόλοι γνωστοποιούνται εντός του οργανισμού
- 7.4 |καθορίζει την ανάγκη εσωτερικής και εξωτερικής επικοινωνίας σχετικά με το ISMS και πλην όσων ίσχυαν για το τι, πότε και με ποιον, προστίθεται και ο τρόπος (πώς).
- 9.2 – 9.3 | Εσωτερική Επιθεώρηση και Ανασκόπηση της Διοίκησης έχουν προσαρμοστεί στην Εναρμονισμένη Δομή
- 10.1 – 10.2 |έχουν προσαρμοστεί στην Εναρμονισμένη Δομή όπου η Συνεχής βελτίωση προηγείται πλέον του αναδρομικού χειρισμού των μη συμμορφώσεων και των διορθωτικών ενεργειών.
Το Παράρτημα Α (Annex A) του ISO/IEC 27001:2022
Προηγουμένως, το παράρτημα Α περιλάμβανε συνολικά 114 ελέγχους (security controls) που θα μπορούσαν να χρησιμοποιηθούν για την αντιμετώπιση κινδύνων για την ασφάλεια των πληροφοριών στο πλαίσιο 35 στόχων ελέγχου οργανωμένων σε 14 γενικούς τομείς. Στη νέα έκδοση, τα security controls είναι πλέον 93, οργανωμένα σε 4 γενικούς τομείς:
- Personal (8 controls)
- Organizational (37 controls)
- Technological (34 controls)
- Physical (14 controls)
Τα συνολικά πλέον 93 στοιχεία ελέγχου, περιλαμβάνουν 11 νέα στοιχεία ελέγχου:
- Threat intelligence
- Information security for use of cloud services
- ICT readiness for business continuity
- Physical security monitoring
- Configuration management
- Information deletion
- Data masking
- Data leakage prevention
- Monitoring activities
- Web filtering
- Secure coding
Ενώ το Παράρτημα Α του ISO/IEC 27001:2022 περιορίζεται στην ονομασία των στοιχείων ελέγχου, ο οδηγός εφαρμογής ISO/IEC 27002:2022 παρέχει περαιτέρω επιλογές για την κατηγοριοποίησή τους. Έτσι, σε κάθε στοιχείο ελέγχου εκχωρούνται πέντε τύποι χαρακτηριστικών για τη σαφέστερη κατηγοριοποίηση τους:
- Control type (preventive, detective, corrective)
- Information security properties (confidentiality, integrity, availability)
- Cybersecurity concepts (identify, protect, detect, respond, recover)
- Operational capabilities (governance, asset management, etc.)
- Security domains (governance and ecosystem, protection, defense, resilience)
Περίοδος μετάβασης στο ISO/IEC 27001:2022
Έχει καθοριστεί τριετής μεταβατική περίοδος για την εφαρμογή του προτύπου ISO/IEC 27001:2022. Συγκεκριμένα, ισχύουν τα κάτωθι:
- από 01.11.2023 καθιερώνεται η υποχρεωτική διενέργεια αρχικών επιθεωρήσεων πιστοποίησης μόνο με την έκδοση του προτύπου ISO/IEC 27001:2022.
- η μεταβατική περίοδος, για τους οργανισμούς που είναι πιστοποιημένοι με την έκδοση του προτύπου ISO/IEC 27001:2013, λήγει στις 31.10.2025. Όλες οι πιστοποιήσεις που βασίζονται στο ISO/IEC 27001:2013 θα παυθούν ή θα ανακληθούν στο τέλος της μεταβατικής περιόδου.
- όλα τα πιστοποιητικά που θα εκδίδονται σύμφωνα με το ISO/IEC 27001:2013 κατά την διάρκεια της μεταβατικής περιόδου πρέπει να λαμβάνουν υπόψη την ανωτέρω καταληκτική ημερομηνία (ανεξαρτήτως αν θα ολοκληρώνεται η συνήθης τριετής διάρκεια ισχύος του πιστοποιητικού ή όχι). Οι Εταιρίες που εφαρμόζουν ISMS και έχουν στη διάθεση τους εν ισχύ πιστοποιητικό ISO/IEC 27001:2013, θα έχουν τη δυνατότητα μετάβασης στο νέο πρότυπο ISO/IEC 27001:2022 κατά τη διάρκεια των ετήσιων επιτηρήσεων τους.