Az ISO/IEC 27002:2022 újdonságai
Megjelent az ISO/IEC 27002 szabvány legújabb kiadása, melynek eredményeként az információbiztonsági ellenőrzéseket aktualizálták, a különböző vállalati és kormányzati ágazatokban bekövetkezett fejlemények és a jelenlegi információbiztonsági gyakorlatoknak megfelelően.
Ebben az írásban bemutatjuk a szabvány főbb változásait, és azt, hogyan közelítheti meg ezeket sikeresen.
Az ISO/IEC 27002:2013 szabvány eredeti hatálya
Az ISO/IEC 27002:2013 (Information technology — Security techniques — Code of practice for information security controls) elsődleges célja az volt, hogy átfogó információbiztonsági vezetési és kockázatcsökkentő tanácsokat nyújtson minden olyan szervezet számára, amelynek új információbiztonsági irányítási programra van szüksége, vagy meglévő információbiztonsági irányelveit és gyakorlatait kívánja javítani. A gyakorlati kódex az információbiztonság irányítására vonatkozó ajánlásokat ad azoknak, akik felelősek az információbiztonság kezdeményezéséért, megvalósításáért és fenntartásáért egy szervezetben.
Mi változott az ISO/IEC 27002:2022-ben?
Az ISO/IEC 27002:2022 szabványnak (Information security, cybersecurity and privacy protection — Information security controls) a megnevezése is változott. Az „Informatika – Biztonságtechnika – Az információbiztonság irányítási gyakorlatának kézikönyve” helyett a 2022-es felülvizsgálatban a név mostantól „Információbiztonság, kiberbiztonság és adatvédelem – Információbiztonság gyakorlata”.
A megfelelési környezet változásai, pl. az olyan szabályozások, mint a GDPR, a POPIA, az APPS, a fejlődő üzletfolytonosság, a kiberkockázatok és a megfelelési kihívások, amelyekkel a szervezetek világszerte szembesülnek, valamint az ISO/IEC 27701 bevezetése azt eredményezte, hogy az ISO/IEC 27002-nek az eredeti információbiztonsági fókuszból ki kellett terjesztenie kontrolljainak körét a kiberbiztonság, az adatvédelem és a sebezhetőségek kezelése felé.
Rövid összefoglalás:
- ISO/IEC 27001:2013 „A” mellékletében: 114 kontroll szerepelt, 14 témakörben.
- ISO/IEC 27002:2013-ban: 114 kontroll magyarázatokkal a 14 témakörben.
- ISO/IEC 27002:2022-ben: a 114 kontroll 93-ba összevonva és kiegészítve néhány aktuális ponttal szerepel:
Új kontrollok:
- 5.7 – Threat Intelligence (Fenyegetés-felderítés)
- 5.23 – Information security for use of cloud services (Információbiztonság a felhőszolgáltatások használatakor)
- 5.30 – ICT readiness for business continuity (IKT-felkészültség az üzletmenet folytonosságára)
- 7.4 – Physical security monitoring (Fizikai biztonság felügyelete)
- 8.9 – Configuration management (Konfigurációkezelés)
- 8.10 – Information deletion (Információ törlése)
- 8.11 – Data masking (Adatmaszkolás)
- 8.12 – Data leakage prevention (Adatszivárgás megelőzése)
- 8.16 – Monitoring activities (Megfigyelési tevékenységek)
- 8.23 – Web filtering (Webszűrés)
- 8.28 – Secure coding (Biztonságos kódolás)1

Változások értelmezése
Első benyomásunk a felülvizsgált szabványról az, hogy egyszerűbb struktúrát biztosít, és szélesebb körű kockázati profil kezelésére is használható. Ez magába foglalhatja az információbiztonságot és a fizikai biztonság, az eszközgazdálkodás, a kiberbiztonság és a magánélet védelmével együtt járó humánerőforrás-biztonsági elemeket is.
Az első jelentős változás a szabványban, hogy a „gyakorlati kódex” helyett olyan kontroll rendszereket határoz meg, amelyek önállóan vagy az ISO/IEC 27001 információbiztonsági irányítási rendszer részeként is létezhetnek.
Az ISO/IEC 27002:2022 új változatában a kontrollok száma a 2013-as kiadás 114 kontroll-jához képest 93 kontrollra csökkent. Ezeket a kontrollokat ráadásul a 14 helyett most négy témakörbe sorolták, „Szervezeti kontrollok”, „Emberi kontrollok”, „Fizikai kontrollok” és „Technológiai kontroll” néven.
A szabványba 11 új kontroll került, 24-et összevontak, illetve 58-at frissítettek az alkotók.
Az összes kontroll száma csökkent – az ISO 27002:2022 új változatában 21-gyel kevesebb kontroll található.
A kockázatcsökkentési, -értékelési és -kezelési folyamat javítása érdekében bevezették a „kontrollok attribútumainak” fogalmát. Ezen túlmenően lehetőség nyílik a kontrollok különböző nézeteinek létrehozására – azaz a kontrollok kategorizálására a kontrolltémáktól eltérő aspektusból.
Mi az a kontroll?
„A „kontroll” olyan intézkedés, amely módosítja vagy fenntartja a kockázatot. Egy információbiztonsági irányelv például csak fenntarthatja a kockázatot, míg az információbiztonsági irányelvnek való megfelelés módosíthatja a kockázatot. Ezen túlmenően egyes kontrollok ugyanazt az általános intézkedést írják le különböző kockázati kontextusokban.”3
Források:
- Mi újság a 27000-es családban? ISO/IEC 27002:2022 – Móricz Pál, Dr. Tarján Gábor
- INTERNATIONAL STANDARD: ISO/IEC 27002 (Third edition 2022-02)
- INTERNATIONAL STANDARD: ISO/IEC 27002:2013 (Second edition 2013)
- INTERNATIONAL STANDARD: ISO/IEC 27001:2013 (Second edition 2013)