Versiunea ISO/IEC 27001:2022/ SR EN ISO CEI 27001:2023 aduce schimbari in structura si numarul controalelor de securitate enumerate in Anexa A.
Numarul total de controale:
- ISO/IEC 27001:2013: 114 controale organizate in 14 categorii.
- ISO/IEC 27001:2022: 93 controale reorganizate in 4 teme principale.
Modificarile mai importante din ISO 27001: 2022 sunt urmatoarele:
- Numar redus de controale: Anexa A din ISO/IEC 27001:2022 contine acum 93 de controale, in comparatie cu cele 114 din versiunea din 2013.
- Reorganizare si consolidare: Noile controale sunt reorganizate pentru a reflecta mai bine peisajul actual al securitatii cibernetice si al protectiei informatiilor. 24 de controale din versiunea anterioara au fost fuzionate, formând doua sau mai multe controale intr-un singur control in versiunea 2022.
- Revizuirea controalelor existente: 58 de controale din versiunea 2013 au fost revizuite si actualizate pentru a se alinia mai bine cu contextul actual al securitatii cibernetice si al protectiei informatiilor.
- Introducerea de noi controale: In versiunea 2022, sunt incluse 11 controale noi, care acopera domenii emergente si aspecte contemporane ale securitatii informatiilor si cibernetice.
Controalele sunt grupate in categoriile principale:
- Controale organizationale (Organizational Controls)
- Controale pentru persoane (People Controls)
- Controale fizice (Physical Controls)
- Controale tehnologice (Technological Controls)
Cele 93 de controale in anexa A, care acopera aspecte legate de securitatea informatiilor. pentru implementarea si mentinerea unui sistem de management al securitatii informatiilor (SMSI).
Dintre acestea, 11 controale sunt noi, introduse pentru a consolida apararea impotriva amenintarilor cibernetice intr-un peisaj in continua evolutie. Iata câteva exemple de controale incluse in ISO/IEC 27001:2022:
1. A.6.1.5 - Controlul utilizatorilor privilegiati: Acest control se refera la gestionarea accesului utilizatorilor cu privilegii speciale, cum ar fi administratorii de sistem sau utilizatorii cu drepturi extinse.
2. A.12.4.1 - Gestionarea evenimentelor de securitate: Acest control implica monitorizarea si inregistrarea evenimentelor de securitate pentru a detecta si raspunde la incidente.
3. A.13.3.1 - Gestionarea criptarii: Acest control se refera la implementarea si gestionarea criptarii pentru a proteja datele sensibile.
4. A.18.2.3 - Testarea securitatii: Acest control implica efectuarea testelor periodice de securitate pentru a evalua vulnerabilitatile si a identifica eventualele probleme.
Controalele actualizate reflecta mai bine riscurile si amenintarile contemporane, inclusiv cele legate de de noile tehnologii, securitatea datelor personale.