ISO 27001:2022

Τι είναι το ISO 27001:2022

Το νέο πρότυπο ISO/IEC 27001:2022 «Ασφάλεια πληροφοριών, κυβερνοασφάλεια και προστασία της ιδιωτικότητας -Συστήματα διαχείρισης ασφάλειας πληροφοριών- Απαιτήσεις» εκδόθηκε στις 25.10.2022 και αντικαθιστά το ISO/IEC 27001:2013.

Το ISO 27001:2022 είναι ένα πρότυπο για τη διαχείριση ασφάλειας πληροφοριών που καλύπτει τρία κύρια θέματα: πληροφοριακή ασφάλεια, κυβερνοασφάλεια και προστασία της ιδιωτικότητας. Το πρότυπο θεσπίζει απαιτήσεις και οδηγίες για την υλοποίηση, λειτουργία, διατήρηση και βελτίωση ενός συστήματος διαχείρισης ασφάλειας πληροφοριών (ISMS). Ο στόχος του ISO 27001:2022 είναι να βοηθήσει τις εταιρείες/οργανισμούς να διαχειρίζονται τους κινδύνους που σχετίζονται με τις πληροφορίες τους, προστατεύοντάς τις από απειλές όπως η κακόβουλη πρόσβαση, η διαρροή, η καταστροφή και η απώλεια.

Σε ποιους απευθύνεται

Το ISO 27001:2022 απευθύνεται σε επιχειρήσεις όλων των μεγεθών και τομέων δραστηριότητας, καθώς και σε δημόσιους και ιδιωτικούς οργανισμούς, που επιδιώκουν την ενίσχυση της πληροφοριακής τους ασφάλειας και την προστασία των δεδομένων τους, με έμφαση στην κυβερνοασφάλεια, προκειμένου να αντιμετωπίσουν τους αυξανόμενους κινδύνους που σχετίζονται με την ψηφιακή ασφάλεια και τις κυβερνοεπιθέσεις.

Η εφαρμογή του ISO 27001:2022 είναι σημαντική για πολλούς λόγους:

  • Προστασία των Δεδομένων: Βοηθά τις επιχειρήσεις και τους οργανισμούς να προστατεύσουν τις πληροφορίες και τα δεδομένα τους από απειλές όπως η κακόβουλη πρόσβαση, η διαρροή, η καταστροφή και η απώλεια.
  • Συμμόρφωση με τη Νομοθεσία: Πολλές χώρες και κυβερνητικοί φορείς απαιτούν τη συμμόρφωση με πρότυπα ασφάλειας όπως το ISO 27001, ιδίως σε επιχειρήσεις που διαχειρίζονται ευαίσθητα δεδομένα.
  • Ενίσχυση Εμπιστοσύνης: Η πιστοποίηση στο ISO 27001 δείχνει στους πελάτες, τους εταίρους και τους ενδιαφερόμενους ότι η επιχείρηση έχει λάβει σοβαρά μέτρα για την προστασία των δεδομένων τους.
  • Μείωση Κινδύνων: Με την εφαρμογή του ISO 27001, οι οργανισμοί μπορούν να αναγνωρίσουν, να αξιολογήσουν και να μειώσουν τους κινδύνους που αντιμετωπίζουν σχετικά με την ασφάλεια των πληροφοριών.
  • Βελτίωση Διαδικασιών: Η υλοποίηση του ISO 27001 προάγει τη βελτίωση των διαδικασιών και των πρακτικών διαχείρισης ασφαλείας των πληροφοριών μέσα στην επιχείρηση.

GDPR και ISO 27001:2022

Το GDPR και το ISO 27001:2022 συσχετίζονται καθώς αφορούν και τα δύο την προστασία των προσωπικών δεδομένων και την ασφάλεια των πληροφοριών:

  • Προστασία Προσωπικών Δεδομένων: Το GDPR και το ISO 27001:2022 έχουν ως στόχο την προστασία των προσωπικών δεδομένων. Το GDPR καθορίζει τις νομικές απαιτήσεις που πρέπει να τηρούν οι επιχειρήσεις για την επεξεργασία των προσωπικών δεδομένων, ενώ το ISO 27001:2022 παρέχει ένα πλαίσιο διαχείρισης ασφάλειας πληροφοριών που μπορεί να εφαρμοστεί για την προστασία αυτών των δεδομένων.
  • Συμμόρφωση και Διαχείριση Κινδύνων: Το GDPR και το ISO 27001:2022 απαιτούν από τις επιχειρήσεις να αναγνωρίζουν και να διαχειρίζονται τους κινδύνους που σχετίζονται με την επεξεργασία των προσωπικών δεδομένων και την ασφάλεια των πληροφοριών.
  • Εσωτερικός Έλεγχος και Παρακολούθηση: Το GDPR και το ISO 27001:2022 προωθούν την υλοποίηση ενός συστήματος εσωτερικού ελέγχου και παρακολούθησης για τη διασφάλιση της συμμόρφωσης και της αποτελεσματικής λειτουργίας των διαδικασιών ασφάλειας και προστασίας δεδομένων.
  • Επομένως, η συμμόρφωση με το ISO 27001:2022 μπορεί να βοηθήσει τις επιχειρήσεις να επιτύχουν συμμόρφωση με το GDPR, παρέχοντας ένα ολοκληρωμένο πλαίσιο για την προστασία των προσωπικών δεδομένων και την ασφάλεια των πληροφοριών.

Πλεονεκτήματα από την εφαρμογή του ISO 27001:2022

Η εφαρμογή του ISO 27001:2022 προσφέρει πολλά πλεονεκτήματα για μια επιχείρηση ή οργανισμό. Ανάμεσα στα κύρια πλεονεκτήματα περιλαμβάνονται:

  1. Βελτίωση της Ασφάλειας Πληροφοριών: Το ISO 27001:2022 παρέχει ένα ολοκληρωμένο πλαίσιο για την ανάπτυξη, εφαρμογή και διατήρηση ενός συστήματος διαχείρισης ασφάλειας πληροφοριών (ISMS), το οποίο ενισχύει την αντίληψη και τη διαχείριση των ασφαλειών πληροφοριών σε μια επιχείρηση.
  2. Προστασία των Δεδομένων: Μέσω του ISO 27001:2022, οι επιχειρήσεις μπορούν να ενισχύσουν την προστασία των δεδομένων τους, συμπεριλαμβανομένων των προσωπικών δεδομένων, και να μειώσουν τους κινδύνους διαρροής ή απώλειας δεδομένων.
  3. Συμμόρφωση με Νομικές Απαιτήσεις: Η υλοποίηση του ISO 27001:2022 βοηθά τις επιχειρήσεις να επιτύχουν συμμόρφωση με τις νομικές απαιτήσεις περί ασφάλειας πληροφοριών και προστασίας δεδομένων, όπως το GDPR.
  4. Ενίσχυση Εμπιστοσύνης: Η πιστοποίηση στο ISO 27001:2022 δείχνει στους πελάτες, τους εταίρους και τους ενδιαφερόμενους ότι η επιχείρηση λαμβάνει σοβαρά μέτρα για την προστασία των πληροφοριών τους.
  5. Βελτίωση Διαδικασιών: Η υλοποίηση του ISO 27001:2022 προωθεί τη βελτίωση των διαδικασιών και των πρακτικών διαχείρισης ασφάλειας πληροφοριών μέσα στην επιχείρηση, βοηθώντας την να λειτουργεί αποτελεσματικότερα και πιο ασφαλώς.
  6. Μείωση Κινδύνων: Με την αναγνώριση και τη διαχείριση των κινδύνων ασφάλειας πληροφοριών, οι επιχειρήσεις μειώνουν τον κίνδυνο παραβιάσεων και πιθανών αρνητικών επιπτώσεων.

Αλλαγές σε σχέση με το ISO 27001:2013

Οι τροποποιήσεις που έχει φέρει το ISO 27001:2022 περιλαμβάνουν την αναθεώρηση των απαιτήσεων με βάση τις σύγχρονες απειλές κυβερνοεπιθέσεων, την ενίσχυση της διαχείρισης κινδύνων σε όλα τα επίπεδα, την αύξηση της παρακολούθησης και της βελτίωσης του ISMS, την ενσωμάτωση της προστασίας της ιδιωτικότητας και την ενίσχυση της διαφάνειας και της ευθύνης σε όλα τα επίπεδα.

Συγκεκριμένα, οι αλλαγές που επιφέρει το νέο πρότυπο είναι οι εξής:

  • Αλλαγή στο όνομα του προτύπου, όπου η αναθεωρημένη έκδοση του 2022 έχει τίτλο “Information security, cybersecurity and privacy protection – Information security management systems – Requirements” σε αντίθεση με την έκδοση 2013 που είχε τίτλο “Information technology – Security techniques – Information security management systems – Requirements”.
  • Ο αριθμός σελίδων στην αναθεωρημένη έκδοση του προτύπου είναι 19, σε αντίθεση με τη προηγούμενη έκδοση του προτύπου που ήταν 23.
  • Στο Clause2 έχει προστεθεί η παράγραφος c.
  • Στο Clause 4.4 έχει προστεθεί η φράση “including the processes needed and their interactions”.
  • Στο Clause2 έχουν προστεθεί 2 νέες παράγραφοι, οι παράγραφοι d και g.
  • Το Clause3 Planning of changes είναι νέα προσθήκη στην αναθεωρημένη έκδοση του προτύπου.
  • Στο Clause4 έχει προστεθεί η παράγραφος d, με ταυτόχρονη κατάργηση των παραγράφων d και e της προηγούμενης έκδοσης.
  • To Clause 8.1 έχει εμπλουτιστεί.
  • Το Clause2 που αφορά το internal audit, “σπάει” στα 9.2.1 και 9.2.2.
  • Το Clause3 που αφορά το management review, “σπάει” στα 9.3.1, 9.3.2 και 9.2.3.
  • Έχουν αντιστραφεί τα Clauses1 και 10.2. Πλέον το Clause 10.1 αφορά το Continual improvement και το 10.2 το Nonconformity and corrective action.

Οι αλλαγές στο ISO/IEC 27002:2022 περιλαμβάνουν:

  • Τα Security Controls είναι πλέον 93, σε σχέση με τα 114 της προηγούμενης έκδοσης.
  • Τα Sections των Security Controls, του Annex A, είναι πλέον 4, σε σχέση με τα 14 της προηγούμενης έκδοσης:
  • People (8 controls)
  • Organizational (37 controls)
  • Technological (34 controls)
  • Physical (14 controls)
  • Τα 11 νέα Security Controls που προστέθηκαν στο Annex A είναι:
  • 7 Threat intelligence
  • 23 Information security for use of cloud services
  • 30 ICT readiness for business continuity
  • 4 Physical security monitoring
  • 9 Configuration management
  • 10 Information deletion
  • 11 Data masking
  • 12 Data leakage prevention
  • 16 Monitoring activities
  • 23 Web filtering
  • 28 Secure coding
  • Τα Security Controls έχουν πλέον 5 τύπους χαρακτηριστικών “attributes” για να είναι πιο εύκολη η κατηγοριοποίησή τους:
  • Control type (preventive, detective, corrective)
  • Information security properties (confidentiality, integrity, availability)
  • Cybersecurity concepts (identify, protect, detect, respond, recover)
  • Operational capabilities (governance, asset management, etc.)
  • Security domains (governance and ecosystem, protection, defence, resilience)

Περίοδος μετάβασης:

Όλα τα πιστοποιητικά σύμφωνα με το ISO/IEC 27001:2013 θα λήξουν ή θα ανακληθούν μετά τη λήξη της μεταβατικής περιόδου, δηλαδή στις 31 Οκτωβρίου 2025.

Οι Φορείς Πιστοποίησης θα πρέπει να σταματήσουν να διενεργούν αρχικές επιθεωρήσεις ή επιθεωρήσεις επαναπιστοποίησης σύμφωνα με το ISO/IEC 27001:2013 μετά τις 30 Απριλίου 2024 (δηλαδή 18 μήνες μετά την έκδοση του προτύπου ISO/IEC 27001:2022). Είναι σημαντικό να σημειωθεί ότι τα πιστοποιητικά που θα εκδίδονται κατά τη διάρκεια της μεταβατικής περιόδου θα λαμβάνουν υπόψη την ανωτέρω καταληκτική ημερομηνία (31 Οκτωβρίου 2025).

Μετά την 30ή Απριλίου 2024, θα πραγματοποιούνται επιθεωρήσεις πιστοποίησης και επαναπιστοποίησης, και θα εκδίδονται πιστοποιητικά (νέες πιστοποιήσεις/επαναπιστοποιήσεις) αποκλειστικά σύμφωνα με το πρότυπο ISO/IEC 27001:2022.

Η μετάβαση στο νέο πρότυπο ISO/IEC 27001:2022 πρέπει να ολοκληρωθεί έως τις 31.10.2025 και μπορεί να γίνει μέσω Επιτήρησης, Επαναπιστοποίησης ή Έκτακτης Επιθεώρησης. Σε περίπτωση που η μετάβαση γίνει μέσω Επιτήρησης ή Έκτακτης Επιθεώρησης, η ημερομηνία λήξης του πιστοποιητικού θα παραμείνει η ίδια με αυτή που είχε οριστεί στην προηγούμενη έκδοση του προτύπου (τρία χρόνια από την ημερομηνία έκδοσης). Σε περίπτωση μετάβασης μέσω Επαναπιστοποίησης, θα εκδίδεται νέο πιστοποιητικό με νέα τριετία. Σημειώστε ότι η Έκτακτη Επιθεώρηση απαιτεί επιπλέον χρόνο και χρεώνεται ως ειδική επιθεώρηση.

Μεθοδολογία εφαρμογής

Κατά την ανάληψη έργου ανάπτυξης συστήματος ISO 27001:2022 από την ISOEXPERTS ακολουθούνται τα παρακάτω βήματα:

 

  • Καταγραφή και αξιολόγηση υφιστάμενης κατάστασης.
  • Διενέργεια Αξιολόγησης Επικινδυνότητας.
  • Σχεδιασμός και ανάπτυξη του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών.
  • Ενημέρωση – Εκπαίδευση εφαρμογής.
  • Πιλοτική εφαρμογή του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών.
  • Πιστοποίηση του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών.

Επικοινωνήστε μαζί μας σήμερα