Przypomnijmy, że standard ISO 27001 opisuje wymagania dla Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) i jest podstawą do certyfikacji systemu. W rodzinie norm serii ISO 27000 znajdują się także inne opracowania.

W nowej wersji standardu ISO 27001, która została opublikowana w 20013 roku, wprowadzono szereg zmian. Cześć z nich to zmiany kosmetyczne, jednak pojawia się także kilka istotnych zmian, które powinny zostać zweryfikowane przez organizacje. Nowy standard kładzie większy nacisk na pomiar i ocenę wydajności SZBI danej organizacji. Pojawiła się nowa sekcja dotycząca outsourcingu, co jest odzwierciedleniem sytuacji wielu organizacji. Nie wymaga się już zrozumienia idei zarządzania procesowego czy cyklu Plan-do-Check-Act, te elementy są niejako „schowane” w standardzie.

Dużo więcej uwagi skupia się na tzw. kontekście organizacji. Zanim ustanowi się SZBI, organizacja powinna zidentyfikować i zrozumieć potrzeby i oczekiwania wszystkich zainteresowanych stron. Zainteresowane strony mogą obejmować klientów i dostawców. Ich wymagania zawarte mogą być w udokumentowanych kontraktach, zamówieniach, specyfikacjach, itp.

Zmiana widoczna na pierwszy rzut oka to nowa struktura, składająca się obecnie z siedmiu rozdziałów (od 4 do 10). Wynika to z faktu uwspólniania struktur standardów, aby łatwiejsze było ich łączne użycie i integrowanie. Wszystkie systemy zarządzania używają takich elementów jak polityka, procedura, planowanie, proces, monitorowania, kontrola, audyt, niezgodności, działania korygujące, pomiary. Obecna struktura ISO 27001 jest spójna ze standardami takimi jak ISO 31000 czy ISO 22301.

W nowym standardzie usunięto tzw. działania zapobiegawcze. Wynikało to z faktu, że podstawowy element SZBI, czyli zarządzanie ryzykiem, obejmowało podejmowanie działań zapobiegawczych i dodatkowe elementy były zbędne, co często było podkreślane w praktyce. Ponadto w ramach zarządzania ryzykiem, w ramach identyfikacji zagrożeń bezpieczeństwa informacji, nie wymaga się już identyfikacji zagrożeń i podatności. Organizacji pozostawia się więcej swobody w doborze metodyki identyfikacji i oceny ryzyka. Wskazuje się jednocześnie standard ISO 31000 jako źródło dodatkowych wytycznych dotyczących zarządzania ryzykiem. Pojęcie właściciela aktywów zastąpione zostało właścicielem ryzyka, aby podkreślić kluczową odpowiedzialność.

W aneksie A także dokonano pewnych modyfikacji. Przede wszystkim dokonano nowego podziału zabezpi3czeń na kategorie. Zamiast 10 mamy teraz 14 kategorii (grup) zabezpieczeń:

• A.5 Information security policies
• A.6 Organization of information security
• A.7 Human resource security
• A.8 Asset management
• A.9 Access control• A.10 Cryptography
• A.11 Physical and environmental security
• A.12 Operations security
• A.13 Communications security
• A.14 System acquisition, development and maintenance
• A.15 Supplier relationships• A.16 Information security incident management
• A.17 Information security aspects of business continuity management 
• A.18 Compliance

Cześć zabezpieczeń zostało zmodyfikowanych, połączonych lub doprecyzowanych. Mamy teraz 114 zamiast 133 zabezpieczeń. Wprowadzono kilka nowych zabezpieczeń, m.in.:

• A.6.1.5 Information security in project management
• A.14.2.1 Secure development policy
• A.14.2.5 Secure system engineering principles
• A.14.2.6 Secure development environment
• A.14.2.8 System security testing
• A.15.1.3 Information and communication technology supply chain  
• A.16.1.4 Assessment of and decision on information security events   
• A.16.1.5 Response to information security incidents 
• A.17.2.1 Availability of information processing facilities 

Zachęcamy do lektury nowego standardu i do szkoleń w naszej ofercie.