KRUCEK>Odborné články>Nová ISO/IEC 27002 prináša nové opatrenia bezpečnosti informácií

Nová ISO/IEC 27002 prináša nové opatrenia bezpečnosti informácií

Aktuálne platná medzinárodná norma ISO/IEC 27002 bola vydaná v roku 2013. Čoskoro bude nahradená novou verziou. Tá v novej štruktúre zavádza členenie opatrenia bezpečnosti informácií podľa kategórií a rady ďalších atribútov. Nová verzia normy definuje nové opatrenia, menia pôvodné opatrenia a niektoré opatrenia zlučuje. Tento článok stručne popisuje hlavné zmeny.

Struktura normy

Norma ISO/IEC 27002:2013 specifikuje ve 14 kapitolách, 35 kategoriích celkem 114 opatření bezpečnosti informací. Každá z kategorií obsahuje cíl, jehož má být dosaženo a jedno nebo více opatření.

Nově připravované norma ISO/IEC 27002:202x (patrně 2021) bude obsahovat 4 hlavní kapitoly a dvě informativní přílohy. Kapitoly 5 až 8 dělí 93 opatření bezpečnosti informací do 4 kategorií (viz níže). Informativní příloha A je věnována atributům opatření bezpečnosti informací a informativní příloha B mapuje novou a předchozí strukturu normy (oběma směry).

Kategorie a další atributy bezpečnostních opatření

Norma aplikuje hlavní kategorie opatření, podle kterých jsou v nové verzi normy bezpečnostní opatření seskupena. Opatření jsou kategorizována jako organizační opatření (kapitola 5), opatření spojená s lidmi (kapitola 6), fyzická opatření (kapitola 7) a technologická opatření (kapitola 8).

Norma zavádí pět dalších atributů opatření, která umožňují opatření dále seskupovat a třídit.

 • Typy opatření: preventivní, detekční a nápravná
 • Vlastnosti bezpečnosti informací: důvěrnost, integrita a dostupnost
 • Koncepty kybernetické bezpečnosti: identifikace, ochrana, detekce, odezva a obnova
 • Operační schopnosti: governance, řízení aktiv, ochrana informací, bezpečnost lidských zdrojů, fyzická bezpečnost, bezpečnost systémů a sítí. bezpečnost aplikací, ochrana konfigurací, řízení identit a přístupu, řízení hrozeb a zranitelností, kontinuita, bezpečnost ve vztazích s dodavateli, právní předpisy a compliance, řízení událostí bezpečnosti informací, ujištění o bezpečnosti informací
 • Bezpečnostní domény: governance a ekosystém, ochrana, obrana a odolnost

Platí, že jedno opatření může mít přiřazeno více atributů ze stejné skupiny. Například ochrana proti malwaru je opatřením preventivním, detekčním i nápravným. Organizace si může zvolit další atributy, které jí umožní lepší správu bezpečnostních opatření. Příkladem je stupeň vyspělosti opatření, status implementace, priorita opatření atp.

Nová opatření i slučování původních opatření

Celkový počet opatření se snížil z 114 opatření uvedená v normě ISO/IEC 27002:2013 na 93 opatření v nové ISO/IEC 27002:202x. To je dáno tím, že některá opatření jsou sloučena. Například stávající opatření 8.1.1 – Seznam aktiv a 8.1.2. – Vlastnictví aktiv jsou spojena do jednoho opatření 5.09 – Seznam informací a dalších souvisejících aktiv. V normě se vyskytuje také 12 zcela nových opatření:

 • 5.07 – Shromažďování a analýza informací o hrozbách
 • 5.23 – Bezpečnost informací pro používání cloudových služeb
 • 5.30 – Připravenost ICT na kontinuitu podnikání
 • 7.04 – Monitorování fyzického zabezpečení
 • 8.09 – Řízení konfigurace
 • 8.10 – Vymazání informací
 • 8.11 – Maskování dat
 • 8.12 – Prevence úniku dat
 • 8.16 – Monitorovací činností
 • 8.23 – Filtrování webů
 • 8.28 – Bezpečné kódování

Závěr

Aktualizace normy ISO/IEC 27002 přináší pozitivní změnu. Nová opatření odráží aktuální výzvy bezpečnosti informací. Nově zavedené kategorie a atributy umožní nový pohled na opatření a přispějí k jejich lepší správě s dopadem na vyšší úroveň ochrany. Pozitivně vnímáme i seskupení souvisejících opatření a tedy celkově menší počet opatření.

Lze očekávat, že vydání nové normy ISO/IEC 27002 bude také spojeno s aktualizací normy ISO/IEC 27001, respektive dodatku A, který je s ISO/IEC 27002 provázán. Lze očekávat také aktualizaci článku 7 normy ISO/IEC 27701, který doplňuje opatření bezpečnosti informací normy ISO/IEC 27002 o opatření spojená s ochranou soukromí.

Organizace, které mají zaveden systém řízení bezpečnosti informací dle ISO/IEC 27001 pak budou muset, pokud budou chtít držet krok s novými verzemi, upravit svá Prohlášení o aplikovatelnosti a případně i své tématicky specifické politiky a další ISMS dokumentaci.

Máte záujem?


  Spracovanie osobných údajov