Το πρότυπο ISO 27001:2022

Η ασφάλεια της πληροφορίας είναι μία από τις βασικές ανησυχίες των σύγχρονων οργανισμών. Ο πολλαπλασιασμός των απειλών στον κυβερνοχώρο και οι αυξανόμενες κανονιστικές και νομικές απαιτήσεις που σχετίζονται με την προστασία των δεδομένων στρέφουν όλο και περισσότερες επιχειρήσεις στην ανάπτυξη συστημάτων διαχείρισης αυτών. Το ISO 27001 είναι το κορυφαίο διεθνές πρότυπο για τη διαχείριση της ασφάλειας πληροφοριών.

Η νέα έκδοση

Τον Οκτώβριο του 2022, Ο Διεθνής Οργανισμός Τυποποίησης προχώρησε στη δημοσίευση της νέας έκδοσης του προτύπου ISO 27001 αναφορικά με τα Συστήματα Διαχείρισης Ασφάλειας Πληροφοριών. Η αλλαγή αυτή έρχεται μετά από 9 χρόνια εφαρμογής της προηγούμενης έκδοσης, λαμβάνοντας υπόψη τις πιο πρόσφατες εξελίξεις στο χώρο. Παράλληλα, έχει δημοσιευτεί από τον ίδιο οργανισμό και η αναθεωρημένη έκδοση του ISO 27002, του υποστηρικτικού πρότυπου που παρέχει τις κατευθυντήριες γραμμές για την υλοποίηση των security controls (Annex A) του ISO 27001.

Προκειμένου να ανταποκριθεί το πρότυπο στις διαρκώς αυξανόμενες ψηφιακές απειλές, εντοπίζονται κυρίως οι παρακάτω αλλαγές στη νέα έκδοση, όσον αφορά τα Security Controls  (Annex A):

1. Είναι πλέον λιγότερα, συγκεκριμένα 93 αντί για 114, που ήταν στην προηγούμενη έκδοση
2. Έχουν πλέον 5 τύπους χαρακτηριστικών για να είναι πιο εύκολη η κατηγοριοποίησή τους:

• • Control type (preventive, detective, corrective)
  • Information security properties (confidentiality, integrity, availability)
  • Cybersecurity concepts (identify, protect, detect, respond, recover)
  • Operational capabilities (governance, asset management, etc.)
  • Security domains (governance and ecosystem, protection, defence, resilience)

3. Προστίθενται 11 νέα controls που δεν υπήρχαν στην προηγούμενη έκδοση:

1. • Threat intelligence
   • Information security for use of cloud services
   • ICT readiness for business continuity
   • Physical security monitoring
   • Configuration management
   • Information deletion
   • Data masking
   • Data leakage prevention
   • Monitoring activities
   • Web filtering
   • Secure coding

4. Οι τομείς είναι πλέον 4 αντί για 14 σε σχέση με την προηγούμενη έκδοση:

1. • People (8 controls)
   • Organizational (37 controls)
   • Technological (34 controls)

Physical (14 controls)

Για τις εταιρείες που είναι ήδη πιστοποιημένες με την προηγούμενη έκδοση του προτύπου, ως καταληκτική ημερομηνία για την ολοκλήρωση της μετάβασης στη νέα έκδοση του προτύπου, έχει οριστεί η 31 Οκτωβρίου 2025. Μετά το πέρας της ημερομηνίας αυτής, κανένα πιστοποιητικό ISO 27001:2013 δε θα μπορεί να είναι σε ισχύ. Ειδικότερα, μετά τις 31 Οκτωβρίου 2025, για το σύνολο των πιστοποιητικών τα οποία λήγουν ή για τα νέα πιστοποιητικά που θα πρέπει να εκδοθούν, η μόνη αποδεκτή έκδοση προτύπου θα είναι αυτή του ISO 27001:2022.

Όσον αφορά τις εταιρείες που επιθυμούν να  πιστοποιηθούν για πρώτη φορά με το εν λόγω πρότυπο, έως τις 31 Οκτωβρίου 2023 μπορούν να πραγματοποιούνται αρχικές επιθεωρήσεις πιστοποίησης με τη προηγούμενη έκδοση του προτύπου ISO 27001:2013, ενώ από 01 Νοεμβρίου 2023 καθιερώνεται υποχρεωτική η διενέργεια αρχικών επιθεωρήσεων πιστοποίησης μόνο με τη νέα έκδοση του προτύπου ISO 27001:2022.

Σημαντικά είναι τα οφέλη για τις επιχειρήσεις που θα προχωρήσουν στην αναθεώρηση του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών που εφαρμόζουν ή θα προχωρήσουν για πρώτη φορά σε πιστοποίηση. Ενδεικτικά κάποια από τα πλεονεκτήματα παρατίθεται παρακάτω:

1. Διατήρηση Πιστοποιητικού σε ισχύ – τα πιστοποιητικά ISO 27001:2013 δε θα έχουν ισχύ μετά τις 31.10.2025
2. Θωράκιση της Ασφάλειας Πληροφοριών σε όλα τα επιχειρησιακά στάδια
3. Συμμόρφωση με τις νομοθετικές απαιτήσεις
4. Αποφυγή κυβερνοεπιθέσεων και επιχειρησιακή συνέχεια
5. Βελτίωση της ανταγωνιστικότητας, δεδομένου ότι πελάτες και συνεργάτες επιθυμούν συνεργασία με εταιρείες που τους προσφέρουν τα εχέγγυα ότι προστατεύουν επαρκώς τα δεδομένα τους
6. Μείωση επιχειρησιακού κινδύνου μέσω των διενεργούμενων ελέγχων, που περιορίζουν τις πιθανότητες τρωτότητας, καθώς και τις επιπτώσεις από την εμφάνιση συμβάντων.
7. Δημιουργία αισθήματος εμπιστοσύνης μεταξύ των πελατών, των εργαζομένων, των συνεργατών των φορέων και γενικά όλων των ενδιαφερομένων μερών
8. Επιβεβαίωση ότι η εμπιστευτικότητα της πληροφορίας διατηρείται
9. Λειτουργία μιας προσιτής και επαληθεύσιμης στρατηγικής για την διαχείριση της ασφάλειας πληροφοριών.
10. Συμμετοχή σε διαγωνισμούς.

• Διαθέτουμε την εμπειρία στην Ανάπτυξη και Υποστήριξη Συστημάτων Διαχείρισης Ασφάλειας Πληροφοριών σε όλους τους κλάδους επιχειρήσεων
• Διαμορφώνουμε Συστήματα Διαχείρισης σύμφωνα με τις ανάγκες, τη δομή, το πλαίσιο και τη φιλοσοφία λειτουργίας της κάθε επιχείρησης
• Υποστηρίζουμε και καθοδηγούμε την επιχείρηση από τη φάση του σχεδιασμού της, με στόχο τη συμμόρφωση τόσο με τις απαιτήσεις της νομοθεσίας, όσο και με τους κανόνες ορθής πρακτικής
• Δίνουμε αξία στις υπηρεσίες μας στοχεύοντας στην ουσιαστική βελτίωση λειτουργίας του οργανισμού και όχι απλά στην συμμόρφωση του με τις απαιτήσεις των προτύπων

Για τη ΣΑΜΑΡΑΣ & ΣΥΝΕΡΓΑΤΕΣ Ε.Π.Ε.

Βιβή Ασπρούλη,

Διπλ. Ηλεκτρολόγος Μηχανικός, MSc

Επικεφαλής Γραφείου Αθηνών

Τμήμα Ανάπτυξης Συστημάτων Διαχείρισης