Novo izdanje standarda ISO 27001:2013

Uvod

U novembru 2013. godine je bila izdata nova verzija standarda ISO/IEC 27001 Informacione tehnologije — Tehnike bezbednosti — Sistemi menadžmenta bezbednošću informacija — Zahtevi.

Međunarodni standard ISO/IEC 27001:2013 je pripremila grupa u okviru tehničkog komiteta Međunarodne organizacije za standardizaciju i Međunarodne elektrotehničke komisije ISO/IEC JTC 1/SC 27 Tehnike bezbednosti u informacionoj tehnologiji.

Struktura i sadržinske promene

Struktura nove verzije standarda je usklađena sa strukturom koju je propisao Tehnički odbor ISO i koja je istovremeno jednaka strukturi predviđenoj za sve standarde za sisteme menadžmenta, tako da će organizacije lakše integrisati različite sisteme menadžmenta (npr. sistem menadžmenta kvalitetom, životnom sredinom, zaštitom zdravlja i bezbednošću na radu). Iz tog razloga standard ima 10 poglavlja.

Sadržinske promene su na području upravljanja sistemom, ali i tehničkom delu, jer sada standard u većoj meri obuhvata sva aktuelna područja informacionih tehnologija. On je usredsređen na ocenu i otklanjanje rizika sa svrhom da se zadovolje potrebe organizacije.

Glavne promene navedene po svakom od poglavlja

1. Predmet i područje primene

Poglavlje definiše izuzimanja. Izuzimanja u 4. i 10 poglavlju nisu dozvoljena, što ne važi za kontrole date u Prilogu A. 

2. Normativne reference

ISO/IEC 27002 nije više naveden kao obavezan dokument, kao što je bio slučaj u prethodnoj verziji.

3. Termini i definicije

U poglavlju se više ne navode definicije i termini koji su navedeni u standardu ISO 27000:2012. 

4. Kontekst organizacije

Novo poglavlje navodi da organizacija mora da razume eksterne i interne zahteve i poziva se na ISO 31000:2009 Menadžment rizicima – Principi i smernice. Predmet i područje menadžmenta bezbednošću informacija (ISMS) mora da uzme u obzir potrebe i očekivanja zainteresovanih strana.

5. Liderstvo

Poglavlje opisuje zahteve koji se odnose na opredeljenost rukovodstva, politiku, kao i uloge, odgovornosti i ovlašćenja u sistemu menadžmenta bezbednošću informacija. Definisani su zahtevi i značenja politike bezbednošću informacija (nema više pozivanja na sistemsku politiku menadžmenta bezbednošću).

6. Planiranje

Zahtevana je identifikacija rizika u vezi sa gubitkom poverljivosti, integriteta i raspoloživosti. Istovremeno se zahteva definisanje vlasnika rizika (pre nego kao vlasnika sredstava)

7. Podrška

U poglavlju su rezimirani zahtevi u vezi sa resursima, kompetentnošću, razvojem svesti i komuniciranjem. Revidirani su i zahtevi za upravljanje dokumentima i zapisima. Standard se poziva na upravljanje dokumentovanim informacijama koje obuhvata:

  • Predmet i područje (obim) sistema menadžmenta bezbednošću informacija (4.3),
  • Politiku bezbednosti informacija (5.2),
  • Proces ocenjivanja rizika po bezbednost informacija (6.1.2),
  • Proces upravljanja rizicima po bezbednost informacija (6.1.3),
  • Izjava o upotrebljivosti (6.1.3 d),
  • Ciljevi bezbednosti informacija (6.2),
  • Dokazi o kompetentnosti osoblja (7.2),
  • Dokumentovane informacije potrebne za efektivnost sistema (7.5.1b),
  • Planiranje i upravljanje dokumentovanim informacijama (8.1),
  • Rezultati ocenjivanja rizika po bezbednost informacija (8.2),
  • Rezultati upravljanja rizicima po bezbednost informacija (8.3),
  • Dokazi o programima provera i rezultatima provera (9.2),
  • Dokazi o rezultatima preispitivanja od strane rukovodstva (9.3),
  • Dokazi o prirodi neusaglašenosti svim posledičnim merama i o rezultatima korektivnih mera (10.1).

8. Funkcionisanje

Poglavlje uključuje uvođenje i funkcionisanje iz prethodne verzije. Uključuje i zahteve da procesi iz autsorsa utvrđeni i da se njima upravlja.

9. Vrednovanje

Poglavlje rezimira praćenje, merenje, analizu i vrednovanje usklađenosti sa zakonskim zahtevima, interne provere i preispitivanje od strane rukovodstva. Preispitivanje od strane rukovodstva više nema definisanih izlaznih podataka.

10. Poboljšavanje

Poglavlje donosi novi zahtev da organizacija reaguje na neusaglašenosti i da sprovodi mere za upravljanje njima i za njihovu korekciju. Zahtev za stalno poboljšavanje je proširen: uključuje adekvatnost i usaglašenost, kao i efektivnost ISMS.

Aneks A Kontrole

Promenio se broj kontrola (sa 131 na 114) radi pokrivanja izmenjenih pretnji po bezbednost (npr. “cloud” poslovanje), uklanjanja dupliranja i uspostavljanja logičnog grupisanja. Dodate su bile kriptografske kontrole i bezbednost informacija u relacijama sa isporučiocima.

Važenje i tranzicioni period 

ISO i akreditaciona tela su za prelazak na novi standard postavili sledeća pravila:

  • U tranzicionom periodu, koji traje do 01.10.2015. godine, sertifikati izdati prema zahtevima standarda ISO/IEC 27001:2005 i ISO/IEC 27001:2013 su podjednako važeći.
  • Prelazak na novu verziju standarda ISO/IEC 27001:2013 će se sprovoditi tranzicionom proverom tokom redovne ili resertifikacione provere, najkasnije do kraja avgusta 2015.
  • Posle 12 meseci od objavljivanja ISO/IEC 27001:2013, a to je 01.10.2014. godine, moraju sve sertifikacione provere da se izvode samo po ovom standardu
  • Posle 24 meseca od izdavanja standarda ISO/IEC 27001:2013, a to je 01.10.2015. svi sertifikati izdati prema standardu ISO/IEC 27001:2005 će postati nevažeći.

Priprema organizacija za novo izdanje standarda

Organizacije, koje već imaju sertifikovan sistem bezbednosti informacija u skladu sa zahtevima standarda ISO 27001:2005 će imati rok za prelazak na novo izdanje standarda do sredine 2015. godine. To znači da je na raspolaganju ostalo još malo vremena.

Sve naše klijente smo obavestili o objavljivanju novog izdanja standarda i upoznali ih sa postupkom tranzicije. Organizacije moraju pre tranzicije da detaljno prouče zahteve novog standarda, da analiziraju koje izmenjene zahteve će organizacija morati da uključi u svoj sistem menadžmenta bezbednošću informacija (ISMS) i da te izmene sprovede kroz adekvatne mere u okviru ISMS. Dogovoreno je da organizacije pripreme plan tranzicije i da ga pošalju proveravačima pre tranzicione provere.

Copyright © 2015 SIQ. All rights reserved. Opšti uslovi obrade ličnih podataka