Ņemot vērā kiberdrošības situāciju mūsdienu pasaulē, pastāv daudzi informācijas drošības un kiberdrošības ietvari, kas palīdz organizācijām aizsargāt sevi pret kibernoziegumiem un datu noplūdēm. ISO/IEC 27002 ir starptautisks standarts, ko izmanto kā atsauci informācijas drošības kontroļu izvēlē un īstenošanā. Turklāt tā sniedz norādījumus par informācijas drošības paraugpraksi, kas organizācijām palīdz atlasīt, īstenot un pārvaldīt informācijas drošības kontroles, piemēram, organizācijas, personas, fiziskās un tehnoloģiskās kontroles.
ISO/IEC 27002 ir pārskatīts un pašlaik atrodas DIS (starptautiskā standarta melnraksta) stadijā. Rakstā izskaidrotas galvenās izmaiņas, kas paredzamas jaunākajā versijā salīdzinājumā ar ISO/IEC 27002: 2013 versiju.
Galvenās ISO/IEC 27002 standarta izmaiņas
- Jaunas kontroles
Jaunākajā ISO/IEC 27002 standarta versijā ir ieviestas 12 jaunas kontroles. Jaunākie kontroles pasākumi atspoguļo tehnoloģiju un rūpniecības prakses attīstību.
| Changing landscape of technology use and data protection | Inclusion of sensitive data protection controls | Recognition of the essential role of technology in business resilience | Other new controls |
|---|---|---|---|
| 5.7 Threat intelligence | 8.10 Information deletion | 5.30 ICT readiness for business continuity | 5.16 Identity management |
| 5.23 Information security for use of cloud services | 8.11 Data masking | 7.4 Physical security monitoring | |
| 8.12 Data leakage prevention | 8.1 User endpoint devices | ||
| 8.9 Configuration management | |||
| 8.22 Web filtering | |||
| 8.28 Secure coding |
- Esošo kontroļu restrukturizācija
Kontroles pārgrupētas 4 kategorijās, nevis 14 kategorijās, kā tas bija 2013. gada redakcijā.
| 5 Organizational Controls | 6 Organization of information security | 7 Physical Controls | 8 Technological Controls |
- Kontroļu skaits
DIS versijā ir 93 kontroles, bet 2013. gada standarta versijā bija 114 kontroles.
- Izņemtās kontroles
No standarta jaunākās versijas ir noņemtas šādas 16 kontroles:
| 5.1.2 Review of the policies for information security |
| 6.2.1 Mobile device policy |
| 8.1.2 Ownership of assets |
| 8.2.3 Handling of assets |
| 9.4.3 Password management system |
| 11.1.6 Delivery and loading areas |
| 11.2.5 Removal of assets |
| 11.2.8 Unattended user equipment |
| 12.4.2 Protection of log information |
| 12.6.2 Restrictions on software installation |
| 13.2.3 Electronic messaging |
| 14.1.2 Securing application services on public networks |
| 14.1.3 Protecting application services transactions |
| 14.2.9 System acceptance testing |
| 16.1.3 Reporting information security weaknesses |
| 18.2.3 Technical compliance review |
Sekot līdzi jaunā standarta izstrādei var šeit – ISO – ISO/IEC FDIS 27002 – Information security, cybersecurity and privacy protection — Information security controls
