ISO/IEC 27002:2022 to nowa norma — katalog kontroli bezpieczeństwa informacji opublikowany w lutym 2022 r. Stanowi rozwinięcie i wyjaśnienie 93 kontroli z Załącznika A normy ISO/IEC 27001:2022. Dla organizacji posiadających lub planujących certyfikat ISO 27001 — to obowiązkowy punkt odniesienia.
Co się zmieniło
Najważniejsze zmiany względem ISO 27002:2013:
Konsolidacja: 114 kontroli (2013) → 93 kontroli (2022). Część skonsolidowana, redundancje usunięte, struktura uproszczona.
Nowa struktura kategorii: dawne 14 sekcji → 4 grupy tematyczne:
- Organizacyjne (37 kontroli) — polityki, role, klasyfikacja, dostęp
- Ludzie (8 kontroli) — weryfikacja kandydatów, szkolenia, dyscyplina
- Fizyczne (14 kontroli) — strefy, kontrola dostępu fizycznego, ochrona sprzętu
- Technologiczne (34 kontrole) — kryptografia, kopie, logi, bezpieczne wytwarzanie oprogramowania
Atrybuty kontroli: każda kontrola ma teraz 5 atrybutów ułatwiających kategoryzację: typ kontroli (zapobiegawcza/wykrywająca/korygująca), właściwości bezpieczeństwa informacji (poufność, integralność, dostępność), funkcje cyberbezpieczeństwa (NIST CSF — identyfikacja/ochrona/wykrywanie/reagowanie/odtwarzanie), zdolności operacyjne oraz domeny bezpieczeństwa.
11 nowych kontroli — co dodano
Najważniejsze nowości adresują obszary, które stary katalog z 2013 r. pomijał lub traktował powierzchownie:
| Kontrola | Co reguluje |
|---|---|
| 5.7 Analiza zagrożeń | Zbieranie i analiza danych o aktualnych zagrożeniach |
| 5.23 Bezpieczeństwo usług chmurowych | Bezpieczeństwo korzystania z usług chmurowych (umowa o poziomie usług z dostawcą) |
| 5.30 Gotowość ICT do zachowania ciągłości działania | Gotowość ICT na incydenty w ramach zarządzania ciągłością działania (powiązanie z ISO 22301) |
| 7.4 Monitorowanie bezpieczeństwa fizycznego | Monitorowanie obszarów fizycznych (kamery, czujniki) |
| 8.9 Zarządzanie konfiguracją | Zarządzanie konfiguracją systemów informatycznych |
| 8.10 Usuwanie informacji | Bezpieczne usuwanie danych |
| 8.11 Maskowanie danych | Maskowanie danych w środowiskach testowych i deweloperskich |
| 8.12 Zapobieganie wyciekom danych | Zapobieganie wyciekom danych (DLP) |
| 8.16 Monitorowanie działań | Monitorowanie aktywności w systemach |
| 8.23 Filtrowanie ruchu internetowego | Filtrowanie ruchu internetowego |
| 8.28 Bezpieczne kodowanie | Bezpieczne kodowanie (bezpieczny cykl wytwarzania oprogramowania) |
Konsekwencje dla certyfikowanych organizacji
Organizacje posiadające certyfikat ISO 27001:2013 miały okres przejściowy do normy ISO 27001:2022 do 31 października 2025 roku. Przejście wymaga:
- Mapowania kontroli — każda kontrola z 2013 zostaje odwzorowana na nową strukturę 2022
- Aktualizacji deklaracji stosowania (SoA) — uzasadnienie, które z 93 kontroli są stosowane przez organizację
- Oceny ryzyk dla 11 nowych kontroli — ocena przydatności dla organizacji
- Aktualizacji dokumentacji — polityki oraz procedury odwołujące się do nowej struktury
- Audytu przejścia — przeprowadzonego przez akredytowaną jednostkę certyfikującą
ISO 27002 vs ISO 27001 — rozróżnienie
ISO 27001 jest normą certyfikowalną — wdrożenie audytuje jednostka certyfikująca. ISO 27002 stanowi podręcznik — referencję wdrożeniową dla kontroli z Załącznika A. Większość organizacji potrzebuje obu dokumentów: ISO 27001 jako źródła wymagań oraz ISO 27002 jako wytycznych implementacji.
Szczegóły procesu: certyfikacja ISO 27001.
Najczęstsze pytania
Czym jest ISO 27002? +
Czym ISO 27002 różni się od ISO 27001? +
Co się zmieniło w ISO 27002:2022? +
Czy wymagana jest aktualizacja certyfikatu ISO 27001 przy zmianie 27002? +
Jakie są nowe kontrole w ISO 27002:2022? +
Autor artykułu
Zespół Multicert
Redakcja Multicert · Akredytacja PCA AC 210
Artykuły przygotowuje zespół audytorów i specjalistów Multicert z wieloletnim doświadczeniem w certyfikacji systemów ISO, wyrobów CE oraz regulacjach UE.