Megjelent az új információbiztonság-irányítási rendszerekről szóló szabvány az ISO/IEC 27001:2022, amely az új ISO/IEC 27002:2022 követelményszabványa.

Új szabvány száma: ISO/IEC 27001:2022
(Hivatalos magyar fordítása még nem jelent meg).

Továbbra is érvényben lévő szabvány száma:
Angol nyelvű: ISO/IEC 27001:2013
Magyar nyelvű: MSZ ISO/IEC 27001:2014
Érvényes: 2025.10.31.

Változások az új ISO/IEC 27001:2022-ben
A szabvány címében:
A legfontosabb változások már a címében megtalálhatóak, miután az érvényességi területe alá vonta a kiberbiztonságot (cybersecurity) és a személyes adatok védelmét (privacy protection).

Az új információbiztonsági irányítási rendszerek bevezetésekor, vagy a korábbi szabványról való áttéréskor ki kell alakítani és be kell vezetni a kiberbiztonság és a személyes adatok védelme érdekében előírt felügyeleti kontrollokat.

A. melléklet:
Az A. melléklet hivatkozik az ISO/IEC 27002:2022 szabványban szereplő kontrollokra, amely tartalmazza az adott kontroll címét és magát a kontrollt is.

Az eddigi szabvány 114 kontrollt tartalmazott 14 területen, azonban az ISO/IEC 27001:2022 szabvány 93 kontrollt tartalmaz 4 területen:

  • 5. fejezet – Szervezet – 37 darab kontroll
  • 6. fejezet – Emberi erőforrások – 8 darab kontroll
  • 7. fejezet – Fizikai biztonság – 14 darab kontroll
  • 8. fejezet – Technológiai biztonság – 34 darab kontroll

Ezek között 12 darab teljesen új kontroll van, ami a megváltozott technológiai körülmények miatt lett szükséges. Az új kontrollok a következők:

  • Fenyegetések kezelése
  • Információbiztonság a felhőszolgáltatások használatához
  • Személyazonosság-kezelés
  • Infokommunikációs felkészültség az üzletmenet folytonosságához
  • Fizikai biztonság felügyelete
  • Felhasználói végponti eszközök
  • Konfigurációkezelés
  • Információtörlés kezelése
  • Adatmaszkolás
  • Adatszivárgás megelőzése
  • Webszűrés
  • Biztonságos kódolás

Az egyes kontrollok kategorizálását elősegítendő, öt jellemzővel (#hashtag taxonómia) látták el őket, melyek:

  • A. kontroll típusa (#megelőző, #felderítő, #javító)
  • Információbiztonsági tulajdonságok (#bizalmasság, #integritás, #rendelkezésre állás)
  • Kiberbiztonsági koncepciók (#azonosítás, #védelem, #észlelés, #reagálás, #helyreállítás), ezáltal a NIST Cybersecurity Framework „funkcionalitásával” kerül összhangba (lásd: NIST 800-170)
  • Működési képességek (#irányítás, #IT eszközkezelés, #információvédelem stb.)
  • Biztonsági domain-ek (#irányítás és ökoszisztéma, #védelem, #ellenálló képesség)

Ezek csupán javaslatok és nem zárják ki más kategóriák használatát.

Néhány kontrollt módosítottak és integráltak, hogy egyetlen fő vezérlőelemmé váljanak. Példa megváltozott kontrollokra és azok elnevezésére:

  • Információs és egyéb kapcsolódó eszközök (assets) leltár (korábban: Vagyon leltár)
  • Az információs és egyéb kapcsolódó eszközök (assets) elfogadható használata (korábban: Az eszközök elfogadható használata)
  • A kriptográfiai felügyelet használata (korábban: A kriptográfiai ellenőrzésekre és kulcskezelésre stb. vonatkozó irányelv)
  • Naplózás (korábban: Eseménynaplózás
  • Monitoring tevékenységek (korábban: A rendszergazdai és üzemeltetői naplózás)
  • Információátadás (korábban: Az információátadási irányelvek és eljárások; az információátadásról szóló megállapodás stb.)

16 kontrollt töröltek, mivel azok duplikálódtak, vagy jobban illeszkednek más kontrollok alá:

  • Az információbiztonságra vonatkozó politikák felülvizsgálata
  • Mobileszköz-szabályzat
  • Eszközök tulajdonjoga
  • Eszközök kezelése
  • Jelszókezelési rendszer
  • Kézbesítési és rakodási területek
  • Eszközök eltávolítása
  • Felügyelet nélküli felhasználói berendezések
  • A naplóinformációk védelme
  • A szoftverek telepítésének korlátozása
  • Elektronikus üzenetküldés
  • Az alkalmazásszolgáltatások védelme nyilvános hálózatokon
  • Az alkalmazásszolgáltatások tranzakcióinak védelme
  • Rendszerátvételi tesztek Információbiztonsági hiányosságok jelentése
  • Technikai megfelelőség felülvizsgálata

Ezen túlmenően az ellenőrzési struktúra is felülvizsgálatra került, ennek hatására az ISO/IEC 27001:2022 bevezették az „attribútum” és „cél” (=purpose) kifejezést minden egyes kontrollhoz, illetve a továbbiakban nem használják a „cél” (=objective) elnevezést a kontrollokcsoportok esetén.

Kulcsfontosságú határidők

  • ISO/IEC 27001:2013 szerinti tanúsító auditot 2023.10.31-ig lehet csak elvégezni (ISO/IEC 27001:2022 kiadási napjától számított 1 év).
  • ISO/IEC 27001:2013-ről ISO/IEC 27001:2022-re való áttérésre az új szabvány kiadásától számítva 36 hónapja van a szervezeteknek (2025.10.31-ig).
  • Az áttérési időszak lejáratakor minden ISO/IEC 27001:2013 szerinti tanúsítvány lejár (2025.10.31.-én).