Nova izdaja standarda ISO 27001:2013

Uvod

V novembru 2013 je bila izdana nova verzija standarda ISO/IEC 27001 Sistemi upravljanja informacijske varnosti - Zahteve.

Mednarodni standard ISO/IEC 27001:2013 je pripravil pododbor združenega tehničnega odbora Mednarodne organizacije za standardizacijo in Mednarodne elektrotehniške komisije ISO/IEC JTC 1/SC 27 Varnostne tehnike v informacijski tehnologiji.

Struktura in vsebinske spremembe

Struktura nove verzije standarda je skladna s strukturo, ki jo je predpisal ISO Tehnični odbor in hkrati enaka strukturi, ki je predvidena za vse standarde vodenja, tako da bodo organizacije čim lažje integrirale različne sisteme vodenja (npr. sistem vodenja kakovosti, ravnanja z okoljem, vodenja varnosti in zdravja pri delu). Standard ima zato 10 poglavij.

Vsebinske spremembe so na področju upravljanja sistema, poleg tega pa tudi na tehničnem področju, saj standard v večji meri zajema vsa aktualna področja informacijskih tehnologij. Osredotočen je na oceno in odpravo tveganj z namenom, da se zadosti potrebam organizacije.

Glavne spremembe navedene po posameznih poglavjih

1. Področje uporabe

Poglavje opredeljuje opustitve. Opustitve 4. in 10. poglavja niso dovoljene, kar pa ne velja za kontrole v Aneksu A.

2. Zveza s standardi

ISO/IEC 27002 ni več naveden kot obvezen dokument, tako kot v prejšnji verziji.

3. Izrazi in definicije

Poglavje ne navaja več definicij in izrazov, ki so sedaj navedeni v ISO 27000:2012.

4. Okvir organizacije

Novo poglavje navaja, da mora organizacija razumeti zunanje in notranje zahteve ter se sklicuje na ISO 31000:2009 Obvladovanje tveganja - Načela in smernice. Obseg sistema upravljanja z informacijsko varnostjo (SUVI) mora upoštevati potrebe in pričakovanja zainteresiranih strani.

5. Voditeljstvo

Poglavje opisuje zahteve, ki se nanašajo na zavezanost vodstva, politiko ter vloge, odgovornosti in pooblastila v sistemu upravljanja z informacijsko varnostjo. Definirane so zahteve in značilnosti politike informacijske varnosti (ni več sklicevanja na sistemsko politiko varnostnega upravljanja).

6. Načrtovanje

Zahtevana je identifikacija tveganj povezanih z izgubo zaupnosti, integritete in razpoložljivosti. Hkrati se zahteva definiranje lastnikov tveganja (bolj kot lastnika sredstev).

7. Podpora

V poglavju so povzete zahteve v zvezi z viri, kompetentnostjo, ozaveščanjem, komuniciranjem. Revidirane so tudi zahteve po kontroli dokumentov in zapisov. Standard se sklicuje na kontrolo dokumentiranih informacij, ki vsebujejo:

  • Obseg sistema upravljanja informacijske varnosti (4.3),

  • Informacijo varnostno politiko (5.2),

  • Proces ocenjevanja tveganj informacijske varnosti (6.1.2),

  • Proces obravnavanja tveganj informacijske varnosti (6.1.3),

  • Izjava o uporabnosti (6.1.3 d)),

  • Cilji informacijske varnosti (6.2),

  • Dokazila o kompetentnosti osebja (7.2),

  • Dokumentirane informacije potrebne za uspešnost sistema (7.5.1b),

  • Načrtovanje in obvladovanje dokumentirane informacije (8.1),

  • Rezultati ocenjevanja tveganj informacijske varnosti (8.2),

  • Rezultati obravnavanja tveganj informacijska varnost (8.3),

  • Dokazi o programih presoj in rezultatih presoj (9.2),

  • Dokazi o rezultatih vodstvenega pregleda (9.3),

  • Dokazila o naravi neskladnosti vseh posledičnih izvedenih ukrepov ter rezultatih popravnih ukrepov (10.1).

8. Delovanje

Poglavje vključuje uvedbo in delovanje iz predhodne verzije. Vključuje zahteve, da so zunanje izvajani procesi (outsource) določeni in kontrolirani.

9. Vrednotenje

Poglavje povzema spremljanje, merjenje, analiziranje in vrednotenje skladnosti z zahtevami zakonodaje, notranje presoje ter pregled vodstva. Vodstveni pregled nima več definiranih izhodnih podatkov.

10. Izboljševanje

Poglavje prinaša novo zahtevo da organizacija odreagira na neskladnosti in ukrepa za kontrolo in njihovo korekcijo. Zahteva stalnega izboljševanje se je razširila: vključuje primernost in ustreznost kot tudi učinkovitost SUVI.

Aneks A Kontrole

Spremenilo se je število kontrol (iz 131 na 114) zaradi pokrivanja spremenjenih nevarnosti (npr. poslovanje v oblaku), ostranitve podvojenosti in vzpostavljeno logično združevanje v skupine. Dodane so bile kriptografske kontrole in informacijska varnost v odnosih z dobavitelji.

Veljavnost in prehodno obdobje

ISO in akreditacijski organi so za prehod na novi standard postavili sledeča pravila:

  • V prehodnem obdobju, to je do 1.10.2015, so certifikati, izdani skladno z zahtevami po ISO/IEC 27001:2005 in ISO/IEC 27001:2013, povsem enakovredni.
  • Prehod na novi standard ISO/IEC 27001:2013 se bo opravil s prehodno presojo ob redni ali obnovitveni presoji najkasneje do konca avgusta 2015.
  • V roku 12 mesecev po izdaji ISO/IEC 27001:2013, to je po 1.10.2014, se morajo vse certifikacijske presoje izvajati le še po tem standardu.
  • V roku 24 mesecev po izdaji standarda ISO/IEC 27001:2013, to je po 1.10.2015, bodo vsi certifikati, izdani na osnovi zahtev ISO/IEC 27001:2005, neveljavni.

Priprava organizacije na novo izdajo standarda

Organizacije, ki že imajo certificiran sistem skladno z zahtevami ISO 27001:2005, bodo imele čas za prehod na novo izdajo standarda do sredine leta 2015. Na razpolago je torej še nekaj časa.

Vse naše stranke smo obvestili o izidu nove izdaje standarda in jih seznanili z načinom prehoda. Organizacije morajo pred prehodom podrobno preučiti zahteve novega standarda, analizirati, katere spremembe v zahtevah bo organizacija morala vključiti v svoj sistem upravljanja varovanja informacij (SUVI), in te spremembe izvesti z ustreznimi ukrepi v okviru SUVI. Dogovorili smo se, da bodo organizacije pripravile načrt prehoda in ga posredovale presojevalcem pred prehodno presojo.