Phiên bản mới ISO 27001 : 2022 mới sẽ có ý nghĩa gì đối với bạn
Nếu tổ chức của bạn được chứng nhận ISO 27001, bạn có thể biết rằng Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) đang thay đổi cấu trúc của khung kiểm soát ISO 27001 / 27002. Điều này đáng chú ý vì cấu trúc hiện tại đã tồn tại trong 20 năm qua, qua nhiều lần thay đổi tên (Tiêu chuẩn Anh (BS) 7799 Phần 1 & 2 trở thành ISO 17799 vào năm 2000, phát triển thành ISO 27001/27002: 2005, được phát triển thành ISO 27001 / 27002: 2013).
Những thay đổi là đáng kể. Mặc dù chưa có tài liệu nào được hoàn thiện, nhưng đây là những gì được mong đợi:
• ISO 27002 có thể sẽ được phát hành vào tháng 1 năm 2022 và cấu trúc của nó sẽ khác đáng kể so với phiên bản hiện tại (chi tiết bên dưới).
• ISO 27001 có thể sẽ được phát hành vào tháng 3 năm 2022, với thay đổi duy nhất là cập nhật Phụ lục A để phù hợp với phiên bản mới của ISO 27002.
• Ngay sau khi ban hành ISO 27001, Diễn đàn Công nhận Quốc tế và các cơ quan công nhận sẽ tư vấn về thời gian chuyển tiếp sẽ được cấp trong bao lâu. Suy nghĩ phổ biến là nó sẽ là 12 hoặc 24 tháng. Nếu chúng tôi giả định là 12 tháng, điều đó có nghĩa là bất kỳ chứng nhận ISO 27001 hoặc đánh giá giám sát nào diễn ra sau tháng 3 năm 2023 sẽ cần chuyển đổi ISO 27001 : 2022
Thay đổi đối với ISO 27002
Cả các kiểm soát và phân loại của chúng sẽ thay đổi theo ISO 27002. Chúng tôi sẽ chuyển từ 114 kiểm soát được phân loại theo Mục an toàn thông tin thành 94 kiểm soát được phân loại theo các chủ đề: Kiểm soát tổ chức (37), Kiểm soát con người (8), Kiểm soát vật lý (14) và Kiểm soát Công nghệ (34).
Cần chuẩn bị gì cho thay đổi phiên bản ISO 27001?
Hãy bắt đầu với tin xấu. Bạn sẽ có một lượng lớn công việc phải làm giữa chứng nhận tiếp theo (hoặc đánh giá giám sát) và tái chứng nhận tiếp theo, vì sự thay đổi về bản chất và mức độ này sẽ lan truyền một cách hợp lý thông qua ISO 27001 ISMS của bạn. Đây là những thay đổi quan trọng nhất mà bạn nên mong đợi:
• Bạn sẽ cần phải Đánh giá hiện trạng các kiểm soát hiện tại của mình so với tiêu chuẩn ISO 27002 mới. Một cách hiệu quả về chi phí để làm điều này là bao gồm nỗ lực trong đánh giá nội bộ ISO 27001 ISMS tiếp theo của bạn.
• Xem xét lại bối cảnh của bạn — điều mà bạn thực sự nên làm ít nhất một lần mỗi năm.
• Cập nhật đánh giá rủi ro của bạn vì các biện pháp kiểm soát bạn sẽ sử dụng để giảm thiểu rủi ro đã được cập nhật.
• Các bản cập nhật đánh giá rủi ro cộng với những thay đổi trong Phụ lục A mới sẽ yêu cầu bạn thực hiện lại Tuyên bố về khả năng áp dụng (SOA) của mình.
• Nhiều Chính sách / Tiêu chuẩn / Quy trình của bạn sẽ cần được cập nhật để phản ánh những thay đổi mới của ISO 27002.
• Bạn có thể cần phải thực hiện các Chính sách / Tiêu chuẩn / Quy trình mới để giải quyết các thay đổi của ISO 27002.
• Bạn có thể cần thực hiện các thay đổi đối với các công cụ chính trong môi trường của mình (ví dụ: nền tảng GRC, báo cáo SIEM, v.v.) để đảm bảo rằng các cấu phần được sử dụng để chứng minh sự tuân thủ phù hợp với các yêu cầu mới.
• Các Chỉ số An toàn của bạn phải được cập nhật để phản ánh việc đánh giá rủi ro của bạn và các thay đổi của Phụ lục A.
• Chương trình Đánh giá nội bộ ISMS của bạn sẽ cần được cập nhật để phản ánh những thay đổi đối với ISMS của bạn.
Các lợi ích của ISO 27001 : 2022 :
• Các biện pháp kiểm soát mới phù hợp tốt với các rủi ro mới. Được triển khai tốt, các biện pháp kiểm soát sẽ bảo vệ tốt hơn cho doanh nghiệp của bạn khỏi bị tổn hại.
• Sự phù hợp với Khung an ninh mạng NIST và “5 chức năng” của nó (Nhận dạng, Bảo vệ, Phát hiện, Phản ứng và Phục hồi) sẽ mang lại nhiều lợi ích. Với số lượng ngày càng tăng các công ty tuân theo FedRAMP, CMMC, NIST 800-171 và Lệnh điều hành của Tổng thống, điều này sẽ đơn giản hóa việc duy trì một môi trường phù hợp với cả hướng dẫn ISO 27001 và NIST.
• Các yếu tốt bắt đầu bằng # trong ISO 27002 cung cấp một phân loại bổ sung có thể làm cho tài liệu bảo mật dễ làm việc hơn nhiều.
Nguồn ảnh: Internet
Chúng tôi sẽ cung cấp cho bạn thông tin rõ ràng về chi phí đạt được và duy trì chứng nhận.
Nếu bạn chưa sẵn sàng? Gọi cho chúng tôi theo số 0912 300 560 hoặc yêu cầu gọi lại để thảo luận về các yêu cầu chứng nhận ISO 27001 của bạn.