Šta donosi nova verzija standarda za sigurnost informacija i cyber sigurnost

U savremenom poslovnom okruženju, sigurnost informacija postaje prioritet za organizacije svih veličina i sektora. S obzirom na sve rastuće prijetnje u cyber prostoru, međunarodni standardi za upravljanje sigurnošću informacija igraju ključnu ulogu u pomoći organizacijama da zaštite svoje podatke. Jedan od najpoznatijih standarda u ovoj oblasti je ISO/IEC 27001, koji je nedavno ažuriran novom verzijom – ISO/IEC 27001:2022.

U razgovoru sa Nerminom Mahmutovićem, direktorom Instituta za standarde i sigurnost, razmotrili smo glavne promjene u ovoj verziji standarda, kako one utiču na organizacije i na koji način mogu pomoći u boljoj zaštiti podataka i usklađivanju sa sve strožijim zakonodavstvom.

Manji broj kontrola

ISO/IEC 27001:2022 je najnovija verzija standarda koja se bavi upravljanjem sigurnošću informacija, cyber sigurnošću i zaštitom privatnosti. Jedna od najvažnijih razlika u odnosu na prethodnu verziju iz 2013. godine je smanjenje broja kontrola iz Aneksa A, sa 114 na 93.

Ova promjena, kako ističe Mahmutović, olakšava organizacijama implementaciju standarda, jer je broj kontrola sada manji, ali su one preciznije i fokusirane na ključne aspekte sigurnosti.

"Jedna od ključnih prednosti novog standarda je upravo smanjenje broja kontrola, jer je sada lakše pratiti i implementirati samo one kontrole koje su relevantne za konkretne sigurnosne rizike s kojima se organizacije suočavaju", objašnjava Mahmutović.

Priprema za nove izazove u cyber prostoru

Cyber kriminal i prijetnje u digitalnom okruženju nastavljaju rasti, a organizacije moraju stalno prilagođavati svoje strategije zaštite podataka. ISO/IEC 27001:2022 pomaže organizacijama da proaktivno identifikuju i upravljaju rizicima u vezi sa sigurnošću informacija. Standard nudi smjernice za uspostavljanje sistema upravljanja sigurnošću informacija (ISMS), koji omogućava organizacijama da usmjere svoje napore u zaštitu podataka i minimiziraju potencijalne prijetnje.

"S obzirom na porast cyber prijetnji, od organizacija se očekuje da imaju proaktivan pristup u zaštiti svojih podataka. ISO/IEC 27001:2022 pomaže organizacijama da razviju strategije za identifikaciju i minimizaciju tih rizika", kaže Mahmutović.

Nova verzija ISO/IEC 27001:2022 ne samo da pomaže organizacijama da unaprijede svoju sigurnost informacija, već i da se usklade sa sve strožim zakonodavstvom u oblasti zaštite podataka, kao što je GDPR. Standard omogućava organizacijama da implementiraju efikasne mjere zaštite podataka, što je od presudne važnosti u vremenu kada se regulatorni zahtjevi u ovoj oblasti stalno pooštravaju.

"ISO/IEC 27001 je u suštini prirodno usklađen sa zakonodavstvom kao što je GDPR. Organizacijama omogućava da osiguraju ne samo sigurnost podataka, već i da budu u skladu sa svim relevantnim zakonima o zaštiti privatnosti", naglašava Mahmutović.

Prijelaz na novu verziju neće biti drastičan

Za organizacije koje su već certificirane prema starijoj verziji ISO/IEC 27001:2013, prijelaz na novu verziju neće biti drastičan, ali će zahtijevati nekoliko ključnih koraka. Mahmutović objašnjava da će organizacije morati ažurirati svoju dokumentaciju, uključujući izjavu o primjenjivosti (SoA), te revidirati planove za upravljanje rizicima i implementaciju novih kontrola.

"Za organizacije koje već primjenjuju ISO/IEC 27001:2013, prelazak na novu verziju će biti postepen proces. Međutim, bitno je da što prije započnu prilagodbu, jer imaju rok do 2025. godine da završe tranziciju", savjetuje Mahmutović.

Jedan od ključnih razloga za uvođenje nove verzije standarda je i prilagođavanje savremenim trendovima u cyber sigurnost. Nove kontrole uvedene u ISO/IEC 27001:2022 posebno se odnose na upotrebu usluga u oblaku i zaštitu podataka u digitalnim okruženjima koja postaju sve složenija.

"Značajna promjena u ovoj verziji standarda je dodatak kontrola koje se odnose na usluge u oblaku, jer se upravo u tom području javljaju najveći sigurnosni rizici. Organizacije sada imaju jasne smjernice kako da obezbijede sigurnost podataka u oblaku", napominje Mahmutović.

Mahmutović savjetuje organizacije koje se pripremaju za implementaciju ISO/IEC 27001:2022 da počnu sa pripremama na vrijeme. Iako je prelazni period do 31. oktobra 2025. godine, proces tranzicije uključuje niz važnih koraka, uključujući edukaciju zaposlenih, reviziju postojećih politika i procedura, te ažuriranje alata i softverskih rješenja koja podržavaju ISMS.

"Ključna stvar u ovom procesu je edukacija zaposlenih, jer promjene u standardu pokrivaju nove aspekte, posebno u vezi sa cyber sigurnošću. Organizacije koje se ne pripreme na vrijeme mogu se naći u problemima kada dođe trenutak za revidiranje sistema", zaključuje Mahmutović.

S.B.