מהדורת 2022 של תקן ISO 27001

מהדורת 2022 של תקן ISO 27001

לאחר 9 שנים שחלפו מאז מהדורת 2013, עודכן כעת תקן אבטחת המידע המוביל בעולם ISO 27001. ב- 25 באוקטובר 2022 פורסמה המהדורה העדכנית של ISO 27001:2022; ולמרות שמהדורה זו מציגה שינויים מתונים, כדאי ללמוד ולהכיר אותם מקרוב – לכן נעבור על שינויים אלו במאמר זה ונראה כיצד מהדורה זו משנת 2022 משתווה לקודמתה 2013.

ראשית, חשוב להבדיל בין תקן ISO 27001 לבין תקן ISO 27002. הראשון הוא התקן העיקרי מולו לפיו הארגון מקבל את ההתעדה (הסמכה ותעודה), בעוד שהשני הוא התקן התומך, שמספק את ההנחיות והדגשים לגבי אופן יישום בקרות האבטחה. למען ההבהרה, תקן ISO 27002 אינו חובה עבור הסמכת ISO 27001.

 ISO 27002 פורסם לראשונה בשנת 1995 תחת השם BS-7799-1 ובפברואר השנה פורסם תיקון ISO 27002:2022 עם המבנה החדש של 93 בקרות – אותו מבנה בקרות כמו ISO 27001:2022 כפי שמוסבר להלן.

בסך הכל, בהשוואה למהדורת 2013, השינויים במהדורה ISO 27001:2022 אינם מהותיים. חלקו העיקרי של התקן נותר עם 11 סעיפים, והשינויים בחלק זה של התקן קלים.

במבט ראשון, נספח A השתנה מאוד – מספר הבקרים ירד מ-114 ל-93, והוא מאורגן לארבעה חלקים בלבד, לעומת 14 סעיפים במהדורת 2013. עם זאת, לאחר מבט מעמיק יותר, מתברר כי השינויים בנספח A הם מתונים בלבד.

להלן סקירה קצרה של השינויים ב- ISO 27001:2022:

• סעיף 4.2 (הבנת הצרכים והציפיות של בעלי עניין), נוסף סעיף (ג) הדורש ניתוח לאילו מדרישות בעלי העניין יש לטפל באמצעות ה- ISMS.
• סעיף 4.4 (מערכת ניהול אבטחת מידע), נוסף ביטוי המחייב תכנון תהליכים ואינטראקציות ביניהם כחלק מה- ISMS.
• סעיף 5.3 (תפקידים ארגוניים, אחריות וסמכויות) נוסף ביטוי להבהרת שתקשורת התפקידים נעשית באופן פנימי בתוך הארגון.
• סעיף 6.2 (יעדי אבטחת מידע ותכנון להשגתן) נוסף סעיף (ד) המחייב מעקב אחר יעדים.
• נוסף סעיף 6.3 (תכנון שינויים), המחייב שכל שינוי ב-ISMS צריך להיעשות בצורה מתוכננת.
• סעיף 7.4 (תקשורת) נמחק סעיף (ה) שחייב הגדרת תהליכי תקשורת.
• סעיף 8.1 (תכנון ובקרה תפעוליים) נוספו דרישות חדשות לקביעת קריטריונים לתהליכי אבטחה וליישום תהליכים על פי אותם קריטריונים. באותו סעיף נמחקה הדרישה ליישום תוכניות להשגת יעדים.
• סעיף 9.3 (סקירת ההנהלה), נוסף סעיף 9.3.2 ג') המבהיר כי תשומות של בעלי עניין צריכות להיות על צרכיהם וציפיותיהם, ורלוונטיות ל- ISMS.
• סעיף 10 (שיפור), תתי הסעיפים החליפו מקום, כך שהראשון הוא שיפור מתמיד (10.1), והשני הוא אי התאמה ופעולה מתקנת (10.2), בעוד שהטקסט של אותם סעיפים לא השתנה.

בפועל, השינויים בנספח A הם מתונים מכיוון שרוב הבקרים נשארו זהים (35 מהם) או ששמו שונה בלבד (23). עוד 57 בקרות אוחדו, מה שהפחית את מספר הבקרות, אך הדרישות בתוך אותן בקרות נותרו כמעט זהות. לבסוף, בקר אחד פוצל לשני בקרים נפרדים, בעוד שהדרישות נשארו זהות וכן יש 11 בקרות חדשות, שהיו נחוצות בגלל המגמות בתחום ה-IT והאבטחה.

על פי מסמך ״דרישות המעבר לתקן ISO/IEC 27001:2022״ מפורום ההסמכה הבינלאומי, עבור חברות שכבר מוסמכות ל- ISO 27001:2013 המעבר ל- ISO 27001:2022 נדרש להסתיים עד 31 באוקטובר 2025.

גופי ההתעדה חייבים להתחיל לאשר חברות לפי ISO 27001:2022 עד ה- 31 באוקטובר 2023, אבל ההנחה היא שרובם יתחילו עם המהדורה החדשה הזו הרבה יותר מוקדם.

לסיכום, השינויים בחלק העיקרי של התקן אינם מהותיים וניתנים לביצוע די בפשטות, עם שינויים קלים בלבד בתיעוד ובתהליכים. השינויים בבקרות נספח A אף הם מתונים וניתן להתייחס אליהם בעיקר על ידי הוספת הבקרים החדשים לתיעוד הקיים.