יסאָ 27002:2022 ענדערונגען, דערהייַנטיקונגען און פאַרגלייַך

ISO / יעק קסנומקס איז ריווייזד צו דערהייַנטיקן די אינפֿאָרמאַציע זיכערהייט קאָנטראָלס צו פאַרטראַכטנ דיוועלאַפּמאַנץ און קראַנט אינפֿאָרמאַציע זיכערהייט פּראַקטיסיז אין פאַרשידן סעקטאָרס פון געשעפטן און גאַווערמאַנץ.

אין דעם פּאָסטן, מיר וועלן דערקלערן די הויפּט ענדערונגען צו די סטאַנדאַרט און ווי איר קענען דערגרייכן זיי הצלחה.

עס זענען אַ גרויס נומער פון סטאַנדאַרדס און אנדערע ענלעך זיכערהייט פראַמעוואָרקס שייַכות צו אָדער באזירט אויף ISO 27002:2013. די ענדערונג פון דעם נאָרמאַל צו אַ נייַע ווערסיע וועט ווירקן זיי.

ISO 27002 2013 אָריגינעל פאַרנעם

דער ערשטיק ציל פון ISO 27002: 2013 איז געווען צו צושטעלן אַ פולשטענדיק אינפֿאָרמאַציע זיכערהייט און אַסעט פאַרוואַלטונג פּראָגראַם פֿאַר יעדער אָרגאַניזאַציע וואָס דאַרף אַ נייַע אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג פּראָגראַם אָדער ווילן צו פֿאַרבעסערן די יגזיסטינג אינפֿאָרמאַציע זיכערהייט פּאַלאַסיז און פּראַקטיסיז. דער קאָד פון פיר האט די רעקאַמאַנדיישאַנז פֿאַר אָנפירונג אינפֿאָרמאַציע זיכערהייַט צו די פאַראַנטוואָרטלעך פֿאַר ינישיייטינג, ימפּלאַמענינג און מיינטיינינג אינפֿאָרמאַציע זיכערהייט אין אַן אָרגאַניזאַציע.

וואָס איז געביטן אין ISO 27002 2022?

אין ISO 27002:2022, די נאָמען פון די סטאַנדאַרט איז געביטן. אנשטאט "אינפֿאָרמאַציע טעכנאָלאָגיע - זיכערהייט טעקניקס - קאָוד פון פיר פֿאַר אינפֿאָרמאַציע זיכערהייט קאָנטראָלס, דער נאָמען איז איצט "אינפֿאָרמאַציע זיכערהייט, סייבערסעקוריטי און פּריוואַטקייט שוץ - אינפֿאָרמאַציע זיכערהייט קאָנטראָלס" אין די 2022 רעוויזיע.

ענדערונגען אין די העסקעם לאַנדשאַפט, למשל רעגיאַליישאַנז אַזאַ ווי GDPR (אַלגעמיינע דאַטאַ פּראַטעקשאַן רעגולירן), POPIA (פּראָטעקשאַן פון פערזענלעכע אינפֿאָרמאַציע אקט), אַפּפּס (אַוסטראַליאַן פּריוואַטקייט פּרינסאַפּאַלז), די יוואַלווינג געשעפט קאַנטיניויישאַן, סייבער ריסקס און העסקעם טשאַלאַנדזשיז פייסט דורך אָרגאַנאַזיישאַנז אַרום די וועלט און די הקדמה פון ISO 27701 ריזאַלטיד אין אַ נויט פֿאַר ISO 27002 צו בראָדאַן די פאַרנעם פון זיין קאָנטראָלס פֿון זיין אָריגינעל אינפֿאָרמאַציע זיכערהייט פאָקוס, צו חשבון פֿאַר סייבער זיכערהייט און אינפֿאָרמאַציע פּריוואַטקייט און וואַלנעראַביליטי פאַרוואַלטונג.

די ISO אָרגאַניזאַציע האפענונגען צו פֿאַרבעסערן די קאַוואָנע דורך צושטעלן אַ רעפֿערענץ שטעלן פֿאַר אינפֿאָרמאַציע זיכערהייט קאָנטראָל אַבדזשעקטיווז פֿאַר נוצן אין קאָנטעקסט-ספּעציפיש אינפֿאָרמאַציע זיכערהייט, פּריוואַטקייט און סייבער זיכערהייט ריזיקירן פאַרוואַלטונג.

ווען איז עס געווען לעבן?

די נייַע ISO 27002 2022 רעוויזיע איז ארויס אויף 15 פעברואר 2022.

ינטערפּריטינג די ענדערונגען

אונדזער ערשטער רושם פון די ריווייזד נאָרמאַל איז אַז עס גיט אַ מער סטרייטפאָרווערד סטרוקטור וואָס קענען זיין געווענדט איבער אַן אָרגאַניזאַציע און קענען איצט אויך זיין געוויינט צו פירן אַ ברייטערער ריזיקירן פּראָפיל. דאָס קען אַרייַננעמען אינפֿאָרמאַציע זיכערהייט און די מער טעכניש אַספּעקץ פון גשמיות זיכערהייַט, אַסעט פאַרוואַלטונג, סייבער זיכערהייט, און די מענטש ריסאָרס זיכערהייט עלעמענטן וואָס קומען מיט פּריוואַטקייט שוץ.

דער ערשטער באַטייטיק ענדערונג צו די נאָרמאַל איז מאָווינג אַוועק פון אַ "קאָוד פון פּראַקטיס" און פּאַזישאַנינג עס ווי אַ גאַנג פון קאָנטראָלס וואָס קענען אָדער stand alone אָדער עקסיסטירן ווי אַ טייל פון אַן ISO 27001 אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם.

וואָס האט געביטן?

די נומער פון קאָנטראָלס אין די נייַע ווערסיע ISO 27002 2022 איז דיקריסט פון 114 קאָנטראָלס אין 14 קלאָזיז אין די 2013 אַדישאַן צו 93 קאָנטראָלס אין די 2022 אַדישאַן. די קאָנטראָלס זענען איצט קאטיגארעזירט אין פיר קאָנטראָל "טעמעס," וואָס זענען "אָרגאַנאַזיישאַנאַל קאָנטראָלס", "מענטשן קאָנטראָלס", "פיזיש קאָנטראָלס" און "טעקנאַלאַדזשיקאַל קאָנטראָלס."

וואָס איז אַ קאָנטראָל?

א "קאָנטראָל" איז דיפיינד ווי אַ מאָס וואָס מאַדאַפייז אָדער מיינטיינז ריזיקירן. אַן אינפֿאָרמאַציע זיכערהייט פּאָליטיק, פֿאַר בייַשפּיל, קענען בלויז טייַנען ריזיקירן, כאָטש העסקעם מיט די אינפֿאָרמאַציע זיכערהייט פּאָליטיק קענען מאָדיפיצירן ריזיקירן. דערצו, עטלעכע קאָנטראָלס באַשרייַבן די זעלבע דזשאַנעריק מאָס אין פאַרשידענע ריזיקירן קאַנטעקסץ.

קאָנטראָל גיידאַנס

די גיידאַנס אָפּטיילונג פֿאַר יעדער קאָנטראָל איז ריוויוד און דערהייַנטיקט (ווו דארף) צו פאַרטראַכטנ די קראַנט דיוועלאַפּמאַנץ און פּראַקטיסיז. אין אַדישאַן, יעדער קאָנטראָל איז איצט יקוויפּט מיט אַ 'ציל' ויסזאָגונג און אַ סכום פון "אַטטריביוץ" צו אויך פאַרבינדן מיט סייבערסעקוריטי קאַנסעפּס און אנדערע זיכערהייט בעסטער פּראַקטיסיז.

וואָס קאָנטראָלס האָבן געביטן?

אין די 93 קאָנטראָלס (און קאַמפּערד מיט די 2013 אַדישאַן), 11 קאָנטראָלס זענען נייַ, 24 זענען מערדזשד און 58 זענען דערהייַנטיקט (דער הויפּט פֿאַר די גיידאַנס אָפּטיילונג).

די קאָנטראָל שטעלט זענען איצט אָרגאַניזירט אין פיר (4) קאַטעגאָריעס אָדער טעמעס אַנשטאָט פון פערצן (14) קאָנטראָל דאָומיינז. די פיר קאַטעגאָריעס אַרייַננעמען:

• אָרגאַנאַזיישאַנאַל
• מען
• פיזיש
• Technological

די גאַנץ קאָנטראָל ציילן איז רידוסט - עס זענען 21 ווייניקערע קאָנטראָלס אין די נייַע ווערסיע פון ​​ISO 27002:2022.

א קאַנסאַנטרייטאַד מי איז געווען געמאכט צו ויסמיידן קאָנטראָל יבעריקייַט. די 2022 ווערסיע כולל 24 קאָנטראָלס וואָס זענען מערדזשד פֿון די 2013 ווערסיע.

דער נאָרמאַל איצט האט 11 נייַ קאָנטראָלס צו פאַרטראַכטנ די קראַנט אינפֿאָרמאַציע זיכערהייט, גשמיות זיכערהייט און סייבער זיכערהייט לאַנדשאַפט.

די קאָנטראָל אָביעקטיוו פֿאַר אַ גרופּע פון ​​קאָנטראָלס איז ריפּלייסט דורך אַ "ציל" עלעמענט אין די 2022 ווערסיע.

צו פאַרבעסערן די ריזיקירן מיטיגיישאַן, אַסעסמאַנט און באַהאַנדלונג פּראָצעס, דער באַגריף פון "אַטטראַביוץ צו קאָנטראָלס" איז באַקענענ. דערצו, איר וועט קענען צו שאַפֿן פאַרשידענע מיינונגען פון קאָנטראָלס - דאָס איז, קאַטאַגעריזיישאַנז פון קאָנטראָלס פֿון אַ אַנדערש פּערספּעקטיוו ווי די קאָנטראָל טעמעס.

ניו קאָנטראָלס

די פאַרנעם פון ISO/IEC 27002:2022 איצט ליסטעד 11 נייַ קאָנטראָלס. די זענען:

1. סאַקאָנע סייכל - פֿאַרשטיין אַטאַקערז און זייער מעטהאָדס אין דעם קאָנטעקסט פון דיין IT לאַנדשאַפט.
2. אינפֿאָרמאַציע זיכערהייט פֿאַר די נוצן פון וואָלקן באַדינונגס - די הקדמה דורך אָפּעראַציע צו אַרויסגאַנג סטראַטעגיע וועגן וואָלקן ינישאַטיווז איצט דאַרף זיין קאַנסידערד פולשטענדיק.
3. יקט גרייטקייַט פֿאַר געשעפט קאַנטיניויישאַן - די רעקווירעמענץ פֿאַר די IT לאַנדשאַפט זאָל זיין דערייווד פון די קוילעלדיק געשעפט פּראַסעסאַז און די פיייקייט צו צוריקקריגן אַפּעריישאַנאַל קייפּאַבילאַטיז.
4. פיזיש זיכערהייט מאָניטאָרינג - די נוצן פון שרעק און מאָניטאָרינג סיסטעמען צו פאַרמייַדן אַנאָטערייזד פיזיש אַקסעס האט מער טראָפּ.
5. קאָנפיגוראַטיאָן פאַרוואַלטונג - כאַרדאַנינג און זיכער קאַנפיגיעריישאַן פון IT סיסטעמען.
6. אינפֿאָרמאַציע דילישאַן - העסקעם מיט פונדרויסנדיק רעקווירעמענץ, אַזאַ ווי דילישאַן קאַנסעפּס פון דאַטן שוץ דאַרף זיין ימפּלאַמענאַד.
7. דאַטאַ מאַסקינג - ניצן טעקניקס וואָס מאַסקע דאַטן, אַזאַ ווי אַנאָנימיזאַטיאָן און פּסעודאָנימיזאַטיאָן, צו שטיצן דיין דאַטן שוץ.
8. פאַרהיטונג פון דאַטן ליקאַדזש - גענומען סטעפּס צו העלפן פאַרמייַדן שפּירעוודיק דאַטן פון ליקט.
9. מאָניטאָרינג אַקטיוויטעטן - דיין אָרגאַניזאַציע זאָל מאָניטאָר נעץ זיכערהייט און אַפּלאַקיישאַן נאַטור צו דעטעקט קיין נעץ אַנאַמאַליז.
10. וועב פֿילטרירונג - העלפּס צו פאַרמייַדן יוזערז פון וויוינג ספּעציפיש URL ס מיט בייזע קאָד.
11. זיכער קאָדירונג - ניצן מכשירים, קאַמענטינג, טראַקינג ענדערונגען און ויסמיידן ינסאַקיער פּראָגראַממינג מעטהאָדס זענען וועגן צו ענשור זיכער קאָדירונג.

דאָס גיט אונדז:

• 93 קאָנטראָלס אין די נייַע ווערסיע פון ​​27002.
• 11 קאָנטראָלס זענען נייַ.
• א גאַנץ פון 24 קאָנטראָלס זענען מערדזשד פון צוויי, דריי אָדער מער קאָנטראָלס פון די 2013 ווערסיע; און
• 58 קאָנטראָלס פון די 2013 ווערסיע זענען ריוויוד און ריווייזד צו ייַנרייען זיך מיט די קראַנט סוויווע פֿאַר אינפֿאָרמאַציע זיכערהייט און סייבער זיכערהייט.
• אנעקס א, וואָס כולל גיידאַנס פֿאַר די אַפּלאַקיישאַן פון אַטריביוץ, און
• אנעקס ב, וואָס קאָראַספּאַנדז מיט ISO/IEC 27001 2013. עס איז בייסיקלי צוויי טישן טיש וואָס קרייַז-רעפערענצן קאָנטראָל נומערן / אידענטיפיערס פֿאַר יז פון רעפֿערענץ דיטיילינג וואָס איז נייַ און וואָס איז צונויפגיסן.

וואָס זענען אַטריביוץ

די נייַע ווערסיע פון ​​​​ISO סטאַנדאַרט 27002 ינטראַדוסיז אַן אַטריביוץ אָפּטיילונג צו יעדער קאָנטראָל. אַטריביוץ זענען אַ מיטל פון קאַטאַגערייזינג קאָנטראָלס. די אַלאַוז איר צו געשווינד ייַנרייען דיין קאָנטראָל סעלעקציע מיט פּראָסט ינדאַסטרי שפּראַך און סטאַנדאַרדס. די אַטריביוץ ידענטיפיצירן די הויפּט פונקטן:

• קאָנטראָל טיפּ
• InfoSec פּראָפּערטיעס
• סיבער זיכערהייַט קאַנסעפּס
• אַפּעריישאַנאַל קייפּאַבילאַטיז
• זיכערהייט דאָומיינז

די נוצן פון אַטריביוץ שטיצט אַרבעט וואָס פילע קאָמפּאַניעס שוין טאָן אין זייער ריזיקירן אַסעסמאַנט און דערקלערונג פון אָנווענדלעך (SOA).

פֿאַר בייַשפּיל, די סייבערסעקוריטי קאַנסעפּס פֿון NIST און CIS קאָנטראָלס קענען זיין קלאר אונטערשיידן, און די אַפּעריישאַנאַל קייפּאַבילאַטיז רילייטינג צו אנדערע סטאַנדאַרדס קענען זיין אנערקענט.

ווי טוט דאָס ווירקן איר?

די ISO 27002 2022 רעוויזיע וועט ווירקן אַן אָרגאַניזאַציע ווי גייט:

• אויב איר זענט שוין ISO 27001 2013 סערטאַפייד
• ביסט איר מיטן סערטאַפאַקיישאַן
• אויב איר זענט וועגן צו שייַעך-סערטאַפאַקיישאַן

ISO 27001 סערטאַפאַקיישאַן לאַסץ פֿאַר דריי יאָר. אויב דיין אָרגאַניזאַציע איז שוין סערטאַפייד, איר טאָן ניט דאַרפֿן צו טאָן עפּעס איצט, די ריווייזד ISO 27002 2022 נאָרמאַל וועט זיין אָנווענדלעך ביי רינואַל / שייַעך-סערטאַפאַקיישאַן. דעריבער, עס איז אַ סיבה אַז אַלע סערטאַפייד אָרגאַנאַזיישאַנז וועט האָבן צו גרייטן זיך פֿאַר די ריווייזד נאָרמאַל אין עטלעכע בינע.

ווי קען עס ווירקן דיין (שייַעך) סערטאַפאַקיישאַן

רעכן אַז אַן אָרגאַניזאַציע איז דערווייַל אין דעם פּראָצעס פון ISO 27001 2013 סערטאַפאַקיישאַן אָדער שייַעך-סערטאַפאַקיישאַן. אין דעם פאַל, זיי וועלן זיין דערוואַרט צו ריוויזן זייער ריזיקירן אַססעססמענט און ידענטיפיצירן די נייַע קאָנטראָלס ווי אָנווענדלעך און רעוויסע זייער " דערקלערונג פון אָנווענדלעך' דורך קאַמפּערינג די ריווייזד אַנעקס א קאָנטראָלס. זינט עס זענען עטלעכע נייַע קאָנטראָלס און מאַדאַפייד אָדער נאָך גיידאַנס צו אנדערע קאָנטראָלס, אָרגאַנאַזיישאַנז דאַרפֿן צו קאָנטראָלירן די ריווייזד ISO 27002 פֿאַר ימפּלאַמענטיישאַן ענדערונגען.

כאָטש ISO 27001 רעוויזיע 2022 איז נאָך צו זיין ארויס, אַנעקס ב פון ISO 27002 מאַפּס קאָנטראָלס צווישן די 2013 און 2022 ווערסיעס פון די סטאַנדאַרט.

דיין דערקלערונג פון אָנווענדלעך (SOA) זאָל נאָך אָפּשיקן צו אַנעקס א פון ISO 27001, בשעת די קאָנטראָלס מוזן דערמאָנען די ריווייזד ISO 27002:2022 נאָרמאַל, וואָס וועט זיין אַן אָלטערנאַטיוו קאָנטראָל שטעלן.

צי איר דאַרפֿן צו ויסבעסערן דיין דאַקיומענטיישאַן

נאָכקומען מיט די ענדערונגען זאָל אַרייַננעמען:

• אַ דערהייַנטיקן צו דיין ריזיקירן באַהאַנדלונג פּראָצעס מיט דערהייַנטיקט קאָנטראָלס
• אַ דערהייַנטיקן צו דיין סטאַטעמענט פון אַפּפּליאַביליטי
• דערהייַנטיקן דיין קראַנט פּאַלאַסיז און פּראָוסידזשערז מיט גיידאַנס קעגן יעדער קאָנטראָל אויב נייטיק.

ווי קען עס ווירקן ISO 27001 2013

ביז אַ נייַע ISO 27001 2022 סטאַנדאַרט איז ארויס, די קראַנט יסאָ סערטאַפאַקיישאַן סקימז וועט פאָרזעצן, כאָטש מאַפּינג צו די נייַע ISO 27002 2022 קאָנטראָלס וועט זיין פארלאנגט דורך אַנעקס B & B1.2.

אַפּקאַמינג ענדערונגען צו ISO 27001

רובֿ מענטשן וואָס נאָכגיין אינפֿאָרמאַציע זיכערהייט דערוואַרטן אַז די ISO 27001 ענדערונגען וועלן זיין מינערווערטיק טעקסטשאַוואַל ענדערונגען מיט אַ מינערווערטיק דערהייַנטיקן פון אַנעקס א צו ייַנרייען די ISO 27002 2022 רעוויזיע.

ווען וועט ISO 27001 זיין דערהייַנטיקט?

ISO 27001 איז וויידלי דערוואַרט דעם יאָר (אקטאבער 2022). דעם טאָג איז ספּעקולאַטיווע און דאַרף זיין באשטעטיקט.

זענען קיין אנדערע 27000 סטאַנדאַרדס אַפעקטאַד?

פאַרוואַלטונג סיסטעם סטאַנדאַרדס און פראַמעוואָרקס שייַכות צו און / אָדער באזירט אויף די ISO / IEC 27002: 2013 ווערסיע וועט פילן די ענדערונג. קאַמאַנלי געניצט סטאַנדאַרדס און פראַמעוואָרקס אַזאַ ווי ISO 27701 (פּריוואַטקייט), ISO 27017 (וואָלקן באַדינונגס) און ISO 27018 (וואָלקן פּריוואַטקייט) זענען געריכט צו נאָכפאָלגן, און אַ ווייַטער פּראַל קען זיין דערוואַרט פֿאַר היגע סטאַנדאַרדס און פראַמעוואָרקס.

זענט איר גרייט פֿאַר די ענדערונגען?

איר קענען אָנהייבן פּריפּערינג דיין אָרגאַניזאַציע פאַרוואַלטונג סיסטעם קעגן די DIS 27001 ווערסיע (DIS טייַטש דראַפט אינטערנאַציאָנאַלער סטאַנדאַרד) אָדער וואַרטן ביז די ריווייזד נאָרמאַל איז געמאכט לעצט.

עטלעכע סטעפּס וואָס דיין אָרגאַניזאַציע קענען נעמען צו גרייטן זיך פֿאַר די ריווייזד נאָרמאַל זענען:

• פאַרענדיקן אַ ריס אַנאַליסיס פון דיין קראַנט קאָנטראָלס קעגן די נייַע קאָנטראָלס.
• דורכפירן אַ ריזיקירן אַנאַליסיס אין לויט מיט די דערהייַנטיקט 27002 2022 קאָנטראָלס.
• מאַפּע קאָנטראָלס דורך אַנעקס ב צווישן ISO 27002:2013 און ISO 27002:2022.
• פֿאַרשטיין וואָס קאָנטראָלס זענען אָנווענדלעך און דערהייַנטיקן דיין אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם אַקאָרדינגלי.
• דורכפירן דערהייַנטיקונגען צו דיין סטאַטעמענט פון אַפּפּליאַביליטי.
• דורכגיין אַ רעצענזיע און דערהייַנטיקן פון דיין ינערלעך קאָנטראָלירן פּראָגראַם צו ידענטיפיצירן די דערהייַנטיקט קאָנטראָלס פארלאנגט.
• ענשור דיין זיכערהייט מעטריקס זענען דערהייַנטיקט לויט דיין נייַע ריזיקירן אַסעסמאַנט און קאָנטראָלס.
• דערהייַנטיקן און אָפּשאַצן סטאַנדאַרדס, פּראָוסידזשערז און פּאַלאַסיז לויט ענדערונגען אין דיין סוויווע.
• נעמען סטעפּס צו דערהייַנטיקן דיין אָרגאַניזאַציע ריזיקירן אַססעססמענט, ווי איר וועט דערהייַנטיקן דיין יגזיסטינג קאָנטראָלס.
• אָפּשאַצן קיין דריט-פּאַרטיי מכשירים איר נוצן צו איצט באַווייַזן העסקעם צו ענשור אַז זיי קענען שטיצן די נייַע ריוויזשאַנז.

דאָס וועט העלפֿן איר באַקומען פאָרויס פון די שפּיל פֿאַר שייַעך-סערטאַפאַקיישאַן אָדער אַדאַפּשאַן פון נאָך ISO 27000 משפּחה סטאַנדאַרדס / פראַמעוואָרקס, למשל ISO 27018, 27017, 27032, וואָס זענען וויידלי דערוואַרט צו זיין דערהייַנטיקט באַלד נאָך די ISO 27001 2022 רעוויזיע.

קען ISMS.online העלפֿן איר יבערגאַנג צו די נייַע ISO 27002:2022 רעוויזיע?

יא מיר קענען. אויב איר זענט שוין אַ קונה, מיר וועלן באַלד קאָנטאַקט איר מיט אַ סכום פון מייגריישאַן אָפּציעס. אויב איר זענט נישט אַ קונה, מיר האָבן אַ קייט פון אָפּציעס צו העלפן איר מייגרייט דיין אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם צו ISMS אָנליין.