top of page
Szukaj

ISO 27001:2022 Aneks A - co należy wiedzieć?

  • Zdjęcie autora: The SOC 2
    The SOC 2
  • 13 kwi
  • 3 minut(y) czytania

Zaktualizowano: 4 godziny temu


ISO 27001:2022 Aneks A - co należy wiedzieć?
ISO 27001:2022 Aneks A - co należy wiedzieć?

Planując lub wdrażając ISO 27001 w organizacji, zapewne zastanawiasz się nad rolą Aneksu A, który często przysparza wielu pytań. Przyjrzyjmy się kluczowym aspektom tego elementu w najnowszej wersji ISO 27001:2022, co pozwoli lepiej zrozumieć jego znaczenie i efektywnie wykorzystać w systemie zarządzania bezpieczeństwem informacji.


Czym jest ISO 27001 i Aneks A?


ISO 27001 stanowi międzynarodowy standard określający wymagania dla systemów zarządzania bezpieczeństwem informacji (ISMS). Zobowiązuje on organizacje do identyfikowania ryzyk związanych z bezpieczeństwem informacji oraz implementacji kontroli minimalizujących zagrożenia.


Integralną częścią ISO 27001:2022 jest właśnie Aneks A, zawierający katalog 93 kontroli bezpieczeństwa możliwych do wdrożenia w ramach ISMS. Znaczącą zmianą w porównaniu z wersją z 2013 roku jest nowy podział kontroli na 4 główne obszary tematyczne zamiast wcześniejszych 14 domen.


Struktura kontroli w Aneksie A


Najnowsza wersja standardu grupuje kontrole w następujący sposób:


  • Kontrole organizacyjne (37) - obejmują polityki bezpieczeństwa, procedury operacyjne, określenie ról i odpowiedzialności, zarządzanie incydentami, klasyfikację informacji, kontakty z władzami oraz monitorowanie zagrożeń.

  • Kontrole dotyczące ludzi (8) - koncentrują się na sprawdzaniu personelu, szkoleniach i budowaniu świadomości, zachowaniu poufności, zasadach pracy zdalnej oraz procedurach zgłaszania zdarzeń bezpieczeństwa.

  • Kontrole fizyczne (14) - odnoszą się do wyznaczania stref bezpieczeństwa, zabezpieczania wejść, wdrażania polityki czystego biurka i ekranu, ochrony nośników informacji oraz zabezpieczania infrastruktury okablowania.

  • Kontrole technologiczne (34) - zawierają zagadnienia związane z ochroną przed złośliwym oprogramowaniem, wykonywaniem kopii zapasowych, rejestrowaniem zdarzeń, zapewnieniem bezpieczeństwa sieci oraz wdrażaniem bezpiecznego cyklu życia oprogramowania.


Warto zauważyć, że liczba kontroli zmniejszyła się o 18% - z 114 w wersji 2013 do 93 w wersji 2022. Pomimo redukcji, zakres ochrony faktycznie się rozszerzył dzięki wprowadzeniu 11 nowych kontroli oraz konsolidacji 24 kontroli z poprzedniej wersji standardu.


Nowe kontrole w zaktualizowanym standardzie


Standard ISO 27001:2022 wprowadza 11 nowych kontroli odpowiadających na współczesne wyzwania bezpieczeństwa informacji:


  • Monitorowanie zagrożeń (5.7)

  • Bezpieczeństwo usług chmurowych (5.23)

  • Gotowość ICT do ciągłości działalności (5.30)

  • Monitoring bezpieczeństwa fizycznego

  • Zarządzanie konfiguracją

  • Usuwanie informacji

  • Maskowanie danych

  • Zapobieganie wyciekom danych

  • Monitorowanie aktywności (8.16)

  • Filtrowanie stron internetowych

  • Bezpieczne kodowanie


Wprowadzenie tych kontroli odzwierciedla rosnące znaczenie technologii chmurowych, potrzebę stałego monitorowania zagrożeń oraz konieczność zabezpieczania całego łańcucha dostaw ICT.


Innowacyjne atrybuty kontroli


Istotną innowacją w ISO 27001:2022 jest wprowadzenie atrybutów kontroli, znacząco usprawniających kategoryzację i dobór odpowiednich zabezpieczeń. Każda kontrola posiada przypisanych 5 typów atrybutów, co ułatwia zrozumienie jej charakteru i roli w systemie bezpieczeństwa.


Pierwszym atrybutem jest typ kontroli, klasyfikujący je jako zapobiegawcze, wykrywające lub naprawcze. Drugi atrybut odnosi się do właściwości bezpieczeństwa informacji: poufności, integralności i dostępności. Trzeci atrybut określa koncepcje cyberbezpieczeństwa zgodne z ISO/IEC TS 27110: identyfikację, ochronę, wykrywanie, reagowanie oraz odzyskiwanie. Uzupełnieniem są atrybuty dotyczące możliwości operacyjnych oraz domen bezpieczeństwa.


Zastosowanie tych atrybutów pozwala organizacjom lepiej zrozumieć funkcje poszczególnych kontroli oraz ich miejsce w kompleksowym systemie zabezpieczeń. 


Deklaracja Stosowania - fundament ISMS


Deklaracja Stosowania (Statement of Applicability, SoA) jest jednym z najistotniejszych dokumentów systemu zarządzania bezpieczeństwem informacji. Zawiera wykaz wszystkich kontroli z Aneksu A wraz z informacją o ich zastosowaniu lub pominięciu oraz uzasadnieniem podjętych decyzji.


Tworzenie SoA przebiega wieloetapowo:


  1. Przeanalizowanie wszystkich 93 kontroli z Aneksu A

  2. Podjęcie decyzji o zastosowaniu lub wykluczeniu każdej z nich

  3. Uzasadnienie decyzji o wykluczeniu kontroli

  4. Określenie statusu implementacji dla wybranych zabezpieczeń

  5. Szczegółowa dokumentacja całego procesu


SoA odgrywa kluczową rolę podczas certyfikacji ISO 27001 oraz późniejszych audytów nadzoru. Dokument ten podlega regularnym przeglądom, co zapewnia jego aktualność i adekwatność do zmieniającego się środowiska bezpieczeństwa.


Proces doboru kontroli


Należy podkreślić, że kontrole z Aneksu A nie stanowią prostej listy do odhaczenia. Organizacje powinny dobierać je na podstawie wnikliwej oceny ryzyka, uwzględniając specyfikę swojej działalności, rozmiar, branżę oraz charakter przetwarzanych informacji.

Implementacja kontroli z Aneksu A obejmuje następujące kroki:


  1. Zdefiniowanie zakresu ISMS

  2. Identyfikacja ryzyk związanych z bezpieczeństwem informacji

  3. Wybór odpowiednich kontroli na podstawie oceny ryzyka

  4. Dokumentacja wybranych kontroli w SoA

  5. Wdrożenie wybranych kontroli

  6. Weryfikacja skuteczności wdrożonych zabezpieczeń


Organizacje mają możliwość wykluczenia kontroli nieadekwatnych dla swojej działalności, jednak każde wykluczenie wymaga merytorycznego uzasadnienia w Deklaracji Stosowania.


Powiązania z innymi standardami


ISO 27001 ściśle współgra z ISO 27002, który dostarcza szczegółowych wytycznych implementacyjnych dla kontroli wymienionych w Aneksie A. Kontrole te odpowiadają również na wymogi różnorodnych ram regulacyjnych, takich jak GDPR, NIST czy SOC2.

Istotne jest dostrzeżenie, że kontrole nie funkcjonują w izolacji - wzajemnie się uzupełniają, tworząc spójny system bezpieczeństwa informacji. Dlatego kluczowe jest postrzeganie ich jako elementów zintegrowanego podejścia, a nie odrębnych komponentów.


Podsumowanie


Aneks A w ISO 27001:2022 wprowadza istotne modyfikacje w stosunku do wcześniejszej wersji standardu. Zmniejszenie liczby kontroli przy jednoczesnym dodaniu nowych zabezpieczeń oraz wprowadzenie atrybutów kontroli odpowiada na aktualne wyzwania bezpieczeństwa informacji.


Skuteczne wdrożenie kontroli z Aneksu A wymaga podejścia opartego na analizie ryzyka oraz głębokiego zrozumienia specyfiki organizacji. Deklaracja Stosowania stanowi fundamentalny dokument potwierdzający przemyślany dobór kontroli oraz uzasadniający ewentualne wykluczenia.


Wdrożenie ISO 27001:2022 z odpowiednio dobranymi kontrolami z Aneksu A umożliwia organizacjom zbudowanie solidnego systemu zarządzania bezpieczeństwem informacji, skutecznie chroniącego kluczowe zasoby przed coraz bardziej zaawansowanymi zagrożeniami.


 
 
 

Commenti

Kontakt

e-mail: kontakt@itgrc.pl
tel. +48 604 559 818

BW Advisory sp. z o.o.

ul.  Boczańska 25

03-156 Warszawa 

NIP: 5252818352

Polityka prywatności

  • Facebook
  • Twitter
  • LinkedIn
  • Instagram
bottom of page