Megjelent az új információbiztonság-irányítási rendszerekről szóló szabvány az ISO/IEC 27001:2022, amely az új ISO/IEC 27002:2022 követelményszabványa.
Új szabvány száma: ISO/IEC 27001:2022
(Hivatalos magyar fordítása még nem jelent meg).
Továbbra is érvényben lévő szabvány száma:
Angol nyelvű: ISO/IEC 27001:2013
Magyar nyelvű: MSZ ISO/IEC 27001:2014
Érvényes: 2025.10.31.
Változások az új ISO/IEC 27001:2022-ben
A szabvány címében:
A legfontosabb változások már a címében megtalálhatóak, miután az érvényességi területe alá vonta a kiberbiztonságot (cybersecurity) és a személyes adatok védelmét (privacy protection).
Az új információbiztonsági irányítási rendszerek bevezetésekor, vagy a korábbi szabványról való áttéréskor ki kell alakítani és be kell vezetni a kiberbiztonság és a személyes adatok védelme érdekében előírt felügyeleti kontrollokat.
A. melléklet:
Az A. melléklet hivatkozik az ISO/IEC 27002:2022 szabványban szereplő kontrollokra, amely tartalmazza az adott kontroll címét és magát a kontrollt is.
Az eddigi szabvány 114 kontrollt tartalmazott 14 területen, azonban az ISO/IEC 27001:2022 szabvány 93 kontrollt tartalmaz 4 területen:
- 5. fejezet – Szervezet – 37 darab kontroll
- 6. fejezet – Emberi erőforrások – 8 darab kontroll
- 7. fejezet – Fizikai biztonság – 14 darab kontroll
- 8. fejezet – Technológiai biztonság – 34 darab kontroll
Ezek között 12 darab teljesen új kontroll van, ami a megváltozott technológiai körülmények miatt lett szükséges. Az új kontrollok a következők:
- Fenyegetések kezelése
- Információbiztonság a felhőszolgáltatások használatához
- Személyazonosság-kezelés
- Infokommunikációs felkészültség az üzletmenet folytonosságához
- Fizikai biztonság felügyelete
- Felhasználói végponti eszközök
- Konfigurációkezelés
- Információtörlés kezelése
- Adatmaszkolás
- Adatszivárgás megelőzése
- Webszűrés
- Biztonságos kódolás
Az egyes kontrollok kategorizálását elősegítendő, öt jellemzővel (#hashtag taxonómia) látták el őket, melyek:
- A. kontroll típusa (#megelőző, #felderítő, #javító)
- Információbiztonsági tulajdonságok (#bizalmasság, #integritás, #rendelkezésre állás)
- Kiberbiztonsági koncepciók (#azonosítás, #védelem, #észlelés, #reagálás, #helyreállítás), ezáltal a NIST Cybersecurity Framework „funkcionalitásával” kerül összhangba (lásd: NIST 800-170)
- Működési képességek (#irányítás, #IT eszközkezelés, #információvédelem stb.)
- Biztonsági domain-ek (#irányítás és ökoszisztéma, #védelem, #ellenálló képesség)
Ezek csupán javaslatok és nem zárják ki más kategóriák használatát.
Néhány kontrollt módosítottak és integráltak, hogy egyetlen fő vezérlőelemmé váljanak. Példa megváltozott kontrollokra és azok elnevezésére:
- Információs és egyéb kapcsolódó eszközök (assets) leltár (korábban: Vagyon leltár)
- Az információs és egyéb kapcsolódó eszközök (assets) elfogadható használata (korábban: Az eszközök elfogadható használata)
- A kriptográfiai felügyelet használata (korábban: A kriptográfiai ellenőrzésekre és kulcskezelésre stb. vonatkozó irányelv)
- Naplózás (korábban: Eseménynaplózás
- Monitoring tevékenységek (korábban: A rendszergazdai és üzemeltetői naplózás)
- Információátadás (korábban: Az információátadási irányelvek és eljárások; az információátadásról szóló megállapodás stb.)
16 kontrollt töröltek, mivel azok duplikálódtak, vagy jobban illeszkednek más kontrollok alá:
- Az információbiztonságra vonatkozó politikák felülvizsgálata
- Mobileszköz-szabályzat
- Eszközök tulajdonjoga
- Eszközök kezelése
- Jelszókezelési rendszer
- Kézbesítési és rakodási területek
- Eszközök eltávolítása
- Felügyelet nélküli felhasználói berendezések
- A naplóinformációk védelme
- A szoftverek telepítésének korlátozása
- Elektronikus üzenetküldés
- Az alkalmazásszolgáltatások védelme nyilvános hálózatokon
- Az alkalmazásszolgáltatások tranzakcióinak védelme
- Rendszerátvételi tesztek Információbiztonsági hiányosságok jelentése
- Technikai megfelelőség felülvizsgálata
Ezen túlmenően az ellenőrzési struktúra is felülvizsgálatra került, ennek hatására az ISO/IEC 27001:2022 bevezették az „attribútum” és „cél” (=purpose) kifejezést minden egyes kontrollhoz, illetve a továbbiakban nem használják a „cél” (=objective) elnevezést a kontrollokcsoportok esetén.
Kulcsfontosságú határidők
- ISO/IEC 27001:2013 szerinti tanúsító auditot 2023.10.31-ig lehet csak elvégezni (ISO/IEC 27001:2022 kiadási napjától számított 1 év).
- ISO/IEC 27001:2013-ről ISO/IEC 27001:2022-re való áttérésre az új szabvány kiadásától számítva 36 hónapja van a szervezeteknek (2025.10.31-ig).
- Az áttérési időszak lejáratakor minden ISO/IEC 27001:2013 szerinti tanúsítvány lejár (2025.10.31.-én).