Σήμερα, που οι επιχειρήσεις αξιοποιούν και βασίζονται όλο και περισσότερο στην αξιοποίηση ψηφιακών μέσων και εργαλείων αναδεικνύεται σε υψίστης σημασίας η ανθεκτικότητα μιας εταιρίας στις κυβερνοεπιθέσεις.
Η κυβερνοανθεκτικότητα βοηθά τις εταιρίες να προστατεύονται από τους κινδύνους του κυβερνοχώρου, να υπερασπίζονται και να περιορίζουν τη σοβαρότητα των επιθέσεων, και να διασφαλίζουν τη συνεχή επιβίωσή τους παρά την επίθεση.
Τελικά, μέσω της κυβερνοανθεκτικότητας επιτυγχάνεται η διατήρηση της ικανότητας της εταιρίας να παρέχει τα προϊόντα και τις υπηρεσίες της απρόσκοπτα, ακόμα και όταν οι συνηθισμένοι μηχανισμοί παροχής έχουν αποτύχει εξαιτίας μιας κυβερνοεπίθεσης.
H βέλτιστη πρακτική για την ενίσχυση της ανθεκτικότητας στον κυβερνοχώρο μιας εταιρίας είναι η εφαρμογή ενός συστήματος διαχείρισης ασφάλειας πληροφοριών (ISMS) όπως το πλέον αναγνωρισμένο διεθνώς πρότυπο για την Ασφάλεια Πληροφοριών ISO 27001, το οποίο αναθεωρήθηκε 9 χρόνια μετά την τελευταία έκδοση.
Η νέα έκδοση του προτύπου ISO/IEC 27001:2022 ανακοινώθηκε από τον ISO στις 25/10/2022.
Οι κύριες αλλαγές στα ISO/IEC 27001:2022
Συνοπτικά, η βασική δομή του προτύπου με τις 10 βασικές παραγράφους δεν έχει κάποια σημαντική αλλαγή, όμως κατά τα λοιπά (Annex A) υπάρχει διαφοροποίηση τόσο στην λογική όσο και τα περιεχόμενα, οπότε επηρεάζει την προσέγγιση στο διαχειριστικό Σύστημα.
Ποιες είναι οι κύριες αλλαγές στα ISO/IEC 27001:2022 και ISO/IEC 27002:2022
Οι αλλαγές στο ISO/IEC 27001:2022 περιλαμβάνουν:
- Αλλαγή στο όνομα του προτύπου, όπου η αναθεωρημένη έκδοση του 2022 έχει τίτλο “Information security, cybersecurity and privacy protection – Information security management systems – Requirements” σε αντίθεση με την έκδοση 2013 που είχε τίτλο “Information technology – Security techniques – Information security management systems – Requirements”.
- Ο αριθμός σελίδων στην αναθεωρημένη έκδοση του προτύπου είναι 19, σε αντίθεση με τη προηγούμενη έκδοση του προτύπου που ήταν 23.
- Στο Clause2 έχει προστεθεί η παράγραφος c.
- Στο Clause 4.4 έχει προστεθεί η φράση “including the processes needed and their interactions”.
- Στο Clause2 έχουν προστεθεί 2 νέες παράγραφοι, οι παράγραφοι d και g.
- Το Clause3 Planning of changes είναι νέα προσθήκη στην αναθεωρημένη έκδοση του προτύπου.
- Στο Clause4 έχει προστεθεί η παράγραφος d, με ταυτόχρονη κατάργηση των παραγράφων d και e της προηγούμενης έκδοσης.
- To Clause 8.1 έχει εμπλουτιστεί.
- Το Clause2 που αφορά το internal audit, “σπάει” στα 9.2.1 και 9.2.2.
- Το Clause3 που αφορά το management review, “σπάει” στα 9.3.1, 9.3.2 και 9.2.3.
- Έχουν αντιστραφεί τα Clauses1 και 10.2. Πλέον το Clause 10.1 αφορά το Continual improvement και το 10.2 το Nonconformity and corrective action.
Το χρονοδιάγραμμα μετάβασης στη νέα έκδοση
Για τις εταιρίες που διαθέτουν ή επιθυμούν να αναπτύξουν το σύστημα διαχείρισης ασφάλειας πληροφοριών κατά ISO 27001 έχει καθοριστεί 3ετής περίοδος μετάβασης στο νέο πρότυπο, με τα ακόλουθα δεδομένα:
• Όλες οι πιστοποιήσεις σύμφωνα με την προηγούμενη έκδοση ISO/IEC 27001:2013 λήγουν ή ανακαλούνται μετά την λήξη της μεταβατικής περιόδου, δηλαδή στις 31.10.2025.
• Επιθεωρήσεις αρχικής πιστοποίησης ή επαναπιστοποίησης σύμφωνα με την προηγούμενη έκδοση ISO/IEC 27001:2013 παύουν να διενεργούνται μετά τις 30.04.2024 (18 μήνες δηλαδή μετά την έκδοση του προτύπου ISO/IEC 27001:2022).
• Μετά τις 30.04.2024 θα πραγματοποιούνται επιθεωρήσεις πιστοποίησης και επαναπιστοποίησης και θα εκδίδονται πιστοποιητικά (νέες πιστοποιήσεις / επαναπιστοποιήσεις) αποκλειστικά σύμφωνα με την νέα έκδοση ISO/IEC 27001:2022.
Η μετάβαση στη νέα έκδοση ISO/IEC 27001:2022 θα πρέπει να έχει πραγματοποιηθεί μέχρι τις 31.10.2025 και στα πλαίσια Επιτήρησης, Επαναπιστοποίησης ή Έκτακτης Επιθεώρησης.
