4crypto.eu
Bezpłatna konsultacja
Compliance · Norma międzynarodowa · 2026

ISO 27002:2022 w 2026 r. - 93 zabezpieczenia, 4 grupy, atrybuty, implementation guidance

Autor: dr inż. Adam Czubak Czas czytania: 14 min Aktualizacja: 2026-05-15

Ratio essendi

Sens ISO 27002 to dostarczenie konkretu tam, gdzie ISO 27001 daje tylko ramy: katalog 93 zabezpieczeń z wytycznymi implementacyjnymi, by każda organizacja - od mikrofirmy po globalną korporację - miała wspólny język opisywania środków technicznych i organizacyjnych. Norma jest mostem między teoretycznym wymaganiem 27001 ("wdrażaj zabezpieczenia adekwatne do ryzyka") a praktyczną decyzją operacyjną ("oto jak skonfigurować logging, hardening lub MFA"). Bez tej normy każda organizacja musiałaby wymyślać koło na nowo - a audytorzy nie mieliby wspólnego benchmarku oceny.

ISO/IEC 27002:2022 [1] (polski odpowiednik PN-EN ISO/IEC 27002:2022-08 [2]) to kodeks dobrych praktyk dla bezpieczeństwa informacji. Norma zawiera szczegółowe wytyczne implementacyjne dla 93 zabezpieczeń wymienionych w Annex A ISO 27001:2022 [3].

Stosunek do ISO 27001 jest jasny: 27001 mówi CO należy zrobić (formalne wymagania SZBI z możliwością certyfikacji), 27002 mówi JAK to zrobić (szczegóły implementacyjne, bez certyfikacji). W praktyce normy stosuje się łącznie - bez ISO 27002 trudno udokumentować implementację 93 zabezpieczeń. Audytorzy certyfikujący ISO 27001 odwołują się do 27002 jako benchmarku jakości.

Wydanie 2022 wprowadziło znaczącą reorganizację: z 114 zabezpieczeń w 14 kategoriach na 93 zabezpieczenia w 4 grupach (organizacyjne, personalne, fizyczne, technologiczne), dodano 11 nowych controls (m.in. threat intelligence, secure coding, DLP) oraz wprowadzono atrybuty - metadane dla każdego control. Artykuł porządkuje strukturę normy, opisuje wszystkie 4 grupy controls, omawia atrybuty i implementation[9] guidance oraz mapping do innych frameworków.

Czym jest ISO 27002 - relacja z 27001

Pełna nazwa: ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection - Information security controls [1].

Cel normy

ISO 27002 dostarcza szczegółowe wytyczne implementacyjne dla zabezpieczeń bezpieczeństwa informacji. Norma jest uzupełnieniem ISO 27001:

  • ISO 27001 - formalne wymagania SZBI (klauzule 4-10) i Annex A z 93 zabezpieczeniami (skrócone). Certyfikowana.
  • ISO 27002 - szczegółowe wytyczne implementacji każdego z 93 zabezpieczeń. Nie certyfikowana - to przewodnik.

Historia

  • 2000 - ISO/IEC 17799:2000, pierwsze wydanie.
  • 2005 - ISO/IEC 17799:2005, dostosowanie do ISO 27001:2005.
  • 2007 - przemianowanie na ISO/IEC 27002:2005 (zachowując numerację serii 27000).
  • 2013 - ISO/IEC 27002:2013, znacząca aktualizacja.
  • 2022 - ISO/IEC 27002:2022, aktualne wydanie.

Status normy

  • Międzynarodowa - ISO + IEC.
  • Nie certyfikowana - to przewodnik, nie norma certyfikacyjna.
  • Dobrowolna - prawo nie wymaga, ale w praktyce wymagana dla każdej organizacji wdrażającej SZBI.
  • Wspólna podstawa dla regulacji - KSC, KRI, NIS2 odwołują się do PN-ISO/IEC 27002.

Wykorzystanie ISO 27002

Typowe scenariusze:

  • Wdrożenie SZBI - jako instrukcja krok po kroku dla każdego z 93 zabezpieczeń.
  • Audyt - jako benchmark do oceny implementacji.
  • Gap analysis - identyfikacja luk w istniejących praktykach.
  • Szkolenia - referencyjny materiał dla zespołów security.
  • Komunikacja z dostawcami - wspólny język dla klauzul cyberbezpieczeństwa.

Zmiany w wydaniu 2022

ISO 27002:2022 wprowadziło największe zmiany od 2013 r.

Reorganizacja struktury

27002:2013: 114 zabezpieczeń w 14 kategoriach (A.5-A.18). Każda kategoria była tematyczna (np. A.9 Access control, A.10 Cryptography, A.11 Physical security).

27002:2022: 93 zabezpieczenia w 4 grupach:

  • A.5 Organizational - 37 controls.
  • A.6 People - 8 controls.
  • A.7 Physical - 14 controls.
  • A.8 Technological - 34 controls.

Reorganizacja nie oznacza redukcji - żaden poprzedni control nie został usunięty. Niektóre zostały połączone (np. controls dotyczące podobnych obszarów), niektóre przeredagowane.

11 nowych zabezpieczeń

  1. A.5.7 Threat intelligence.
  2. A.5.23 Information security for use of cloud[16][12] services.
  3. A.5.30 ICT readiness for business continuity.
  4. A.7.4 Physical security monitoring.
  5. A.8.9 Configuration management.
  6. A.8.10 Information deletion.
  7. A.8.11 Data masking.
  8. A.8.12 Data leakage prevention.
  9. A.8.16 Monitoring activities.
  10. A.8.23 Web filtering.
  11. A.8.28 Secure coding.

Wprowadzenie atrybutów

Każdy control w 27002:2022 ma 5 grup atrybutów:

  1. Control type - Preventive / Detective / Corrective.
  2. Information security properties - Confidentiality / Integrity / Availability.
  3. Cybersecurity concepts (NIST CSF) - Identify / Protect / Detect / Respond / Recover.
  4. Operational capabilities - 15 kategorii.
  5. Security domains - Governance and ecosystem / Protection / Defence / Resilience.

Atrybuty ułatwiają filtrowanie, raportowanie i mapping do innych frameworków.

Struktura controls - statement, purpose, guidance

Każde z 93 zabezpieczeń w ISO 27002:2022 ma standaryzowaną strukturę dokumentacji:

1. Control (zabezpieczenie)

Krótka, normatywna definicja - co należy zrobić. Najważniejsze stwierdzenie.

Przykład A.8.13: "Backups of information, software and systems shall be maintained and regularly tested in accordance with the agreed topic-specific policy on backup."

2. Purpose (cel)

Dlaczego ten control jest potrzebny, jakie zagrożenia łagodzi.

Przykład A.8.13: "To enable recovery from loss of data or systems."

3. Guidance (wytyczne)

Szczegółowe instrukcje implementacji - jak praktycznie wdrożyć.

Przykład A.8.13: zakres backupu, częstotliwość, retencja, testowanie odzyskiwania, ochrona przed manipulacją, off-site location, szyfrowanie, dokumentacja procedur, role i odpowiedzialności.

4. Other information (informacje dodatkowe)

Konteksty, odwołania do innych norm, przykłady, zastrzeżenia.

5. Atrybuty

Tabela atrybutów (5 grup) dla łatwego mapowania i filtrowania.

Jednolitość

Struktura jest jednorodna dla wszystkich 93 zabezpieczeń. Ułatwia to:

  • Audytorom - znają strukturę, szybko znajdują, czego szukają.
  • Implementatorom - powtarzalny wzorzec dokumentacji wewnętrznej.
  • Trenerom i szkoleniowcom.

Atrybuty - 5 kategorii

Nowość 27002:2022 - atrybuty jako metadane controls. Pięć kategorii:

1. Control type

  • Preventive - zapobiega incydentom (np. MFA, hardening).
  • Detective - wykrywa incydenty (np. SIEM, IDS).
  • Corrective - usuwa skutki incydentu (np. backup recovery, incident response).

Control może mieć więcej niż jeden typ - np. backup jest jednocześnie preventive (chroni przed utratą danych) i corrective (umożliwia odzyskanie).

2. Information security properties (CIA)

Klasyczna triada bezpieczeństwa:

  • Confidentiality - poufność (np. szyfrowanie, kontrola dostępu).
  • Integrity - integralność (np. hash, podpisy cyfrowe, walidacja).
  • Availability - dostępność (np. redundancja, backup, BCP).

3. Cybersecurity concepts (NIST CSF)

Mapowanie do funkcji NIST CSF 2.0 [4]:

  • Identify - identyfikacja aktywów, ryzyka.
  • Protect - ochrona przed zagrożeniami.
  • Detect - wykrywanie incydentów.
  • Respond - reagowanie na incydenty.
  • Recover - odzyskiwanie po incydencie.

4. Operational capabilities (15 kategorii)

Najobszerniejsza grupa atrybutów:

  • Governance - zarządzanie, polityki, role.
  • Asset management - inwentarz, klasyfikacja.
  • Information protection - klasyfikacja informacji.
  • Human resource security - personel.
  • Physical security - fizyczne.
  • System and network security - sieć.
  • Application security - aplikacje, SDLC.
  • Secure configuration - konfiguracja.
  • Identity and access management - IAM, MFA.
  • Threat and vulnerability management - TI, pentest, scanning.
  • Continuity - BCP, DRP.
  • Supplier relationships security - łańcuch dostaw.
  • Legal and compliance - zgodność.
  • Information security event management - SIEM, IR.
  • Information security assurance - audyt, ocena.

5. Security domains

Cztery domeny strategiczne:

  • Governance and ecosystem - zarządzanie i ekosystem (governance, asset management, supplier).
  • Protection - ochrona (preventive controls, kryptografia, kontrola dostępu).
  • Defence - obrona (detective i corrective controls, IR).
  • Resilience - odporność (continuity, BCP, DRP).

Zastosowanie atrybutów

Atrybuty pozwalają na:

  • Filtrowanie controls według perspektywy (np. wszystkie preventive controls, wszystkie controls dla Detect).
  • Raportowanie stratygicznych metryk - jaki % controls mamy w każdej domenie.
  • Mapping do innych frameworków - NIST CSF, ENISA, CIS Controls.
  • Identyfikację luk w portfelu zabezpieczeń.

A.5 Zabezpieczenia organizacyjne (37 controls)

Najobszerniejsza grupa. Pokrywa polityki, role, governance, łańcuch dostaw, zarządzanie incydentami, ciągłość działania.

A.5.1-A.5.6 Polityki i role

  • A.5.1 Policies for information security - polityka bezpieczeństwa i polityki specyficzne (cryptography, access control, BCP).
  • A.5.2 Information security roles and responsibilities - definiowanie ról.
  • A.5.3 Segregation of duties - separacja obowiązków.
  • A.5.4 Management responsibilities - obowiązki kierownictwa.
  • A.5.5 Contact with authorities - kontakty z organami (PUODO, CSIRT, KNF).
  • A.5.6 Contact with special interest groups - kontakty z grupami eksperckimi (ISACA, OWASP).

A.5.7 Threat intelligence (NOWY)

Systematyczne gromadzenie, analiza i wykorzystanie informacji o zagrożeniach. Źródła: CERT Polska, ENISA, komercyjne TI, branżowe sharing groups (FS-ISAC).

A.5.8-A.5.10 Asset management

  • A.5.8 Project management - bezpieczeństwo w projektach.
  • A.5.9 Inventory of information and other assoc[20]iated assets - inwentarz.
  • A.5.10 Acceptable use of assets - zasady akceptowalnego używania.
  • A.5.11 Return of assets - zwrot aktywów (po zakończeniu zatrudnienia).

A.5.12-A.5.14 Information classification

  • A.5.12 Classification of information - 4 poziomy: publiczna / wewnętrzna / poufna / tajna.
  • A.5.13 Labelling of information - oznaczanie.
  • A.5.14 Information transfer - transfer informacji wewnętrzny i zewnętrzny.

A.5.15-A.5.18 Access control

  • A.5.15 Access control - polityka kontroli dostępu, RBAC.
  • A.5.16 Identity management - zarządzanie tożsamością.
  • A.5.17 Authentication information - hasła, MFA, biometria.
  • A.5.18 Access rights - prawa dostępu, regularne przeglądy.

A.5.19-A.5.22 Supplier relationships

  • A.5.19 Information security in supplier relationships - bezpieczeństwo w relacjach z dostawcami.
  • A.5.20 Addressing information security within supplier agreements - klauzule cybersec.
  • A.5.21 Managing information security in the ICT supply chain - zarządzanie łańcuchem dostaw ICT.
  • A.5.22 Monitoring, review and change management of supplier services - monitoring dostawców.

A.5.23 Information security for cloud services (NOWY)

Specyficzne wymagania dla chmury - shared responsibility, klauzule umowne, exit strategy. Powiązany z ISO 27017.

A.5.24-A.5.28 Incident management

  • A.5.24 Information security incident management planning - plan.
  • A.5.25 Assessme[17]nt and decision on information security events - ocena zdarzeń.
  • A.5.26 Response to information security incidents - odpowiedź na incydenty.
  • A.5.27 Learning from information security incidents - lessons learned.
  • A.5.28 Collection of evidence - zbieranie dowodów (forensics).

A.5.29-A.5.30 Continuity

  • A.5.29 Information security during disruption - bezpieczeństwo podczas awarii.
  • A.5.30 ICT readiness for business continuity (NOWY) - przygotowanie ICT do BCP.

A.5.31-A.5.37 Legal and compliance

  • A.5.31 Legal, statutory, regulatory and contractual requirements.
  • A.5.32 Intellectual property rights.
  • A.5.33 Protection of records.
  • A.5.34 Privacy and protection of personal identifiable information (PII[13]) - integracja z RODO.
  • A.5.35 Independent review of information security - przegląd niezależny.
  • A.5.36 Compliance with policies, rules and standards.
  • A.5.37 Documented operating procedures.

A.6 Zabezpieczenia personalne (8 controls)

Grupa skupia się na personelu - od rekrutacji do zakończenia zatrudnienia.

  • A.6.1 Screening - weryfikacja kandydatów: weryfikacja tożsamości, referencji, doświadczenia, kwalifikacji. Dla ról krytycznych - background checks (kryminalne, finansowe).
  • A.6.2 Terms and conditions of employment - warunki zatrudnienia. Klauzule cyberbezpieczeństwa w umowie o pracę. NDA. Obowiązki po zakończeniu.
  • A.6.3 Information security awareness, education and training - szkolenia. Onboarding + cykliczne szkolenia min. raz w roku. Phishing simulations. Dokumentowanie uczestnictwa. Zob. Security Awareness.
  • A.6.4 Disciplinary process - postępowanie po naruszeniu. Procedura, sankcje, eskalacja.
  • A.6.5 Responsibilities after termination or change of employment - obowiązki po zakończeniu. Zwrot aktywów, usunięcie kont, NDA pozostające w mocy.
  • A.6.6 Confidentiality or non-disclosure agreements - NDA dla personelu, kontraktorów, dostawców.
  • A.6.7 Remote working - praca zdalna. Polityka, dostęp przez VPN/MFA, zabezpieczenie urządzeń, polityka czystego biurka w domu.
  • A.6.8 Information security event reporting - raportowanie zdarzeń. Procedura, kanał (email, ticket system), anonimowość, brak retaliacji.

A.7 Zabezpieczenia fizyczne (14 controls)

Bezpieczeństwo fizyczne biur, data center, urządzeń.

A.7.1-A.7.4 Perimetry i monitoring

  • A.7.1 Physical security perimeters - perimetry budynków, ogrodzenia.
  • A.7.2 Physical entry - kontrola wejść (karty, PIN, biometria).
  • A.7.3 Securing offices, rooms and facilities - bezpieczne biura.
  • A.7.4 Physical security monitoring (NOWY) - monitoring fizyczny: CCTV, alarmy, ochrona, log book.

A.7.5-A.7.6 Środowisko

  • A.7.5 Protecting against physical and environmental threats - ochrona przed pożarem, powodzią, trzęsieniami ziemi, awariami zasilania.
  • A.7.6 Working in secure areas - praca w strefach bezpiecznych.

A.7.7-A.7.8 Workplace

  • A.7.7 Clear desk and clear screen - czyste biurko i ekran.
  • A.7.8 Equipment siting and protection - lokowanie urządzeń.

A.7.9-A.7.10 Aktywa

  • A.7.9 Security of assets off-premises - aktywa poza siedzibą (laptopy zdalnych pracowników).
  • A.7.10 Storage media - nośniki danych, zarządzanie cyklem życia.

A.7.11-A.7.14 Urządzenia

  • A.7.11 Supporting utilities - zasilanie, klimatyzacja.
  • A.7.12 Cabling security - bezpieczeństwo kabli.
  • A.7.13 Equipment maintenance - konserwacja urządzeń.
  • A.7.14 Secure disposal or re-use of equipment - pozbywanie się sprzętu (szyfrowanie, niszczenie dysków).

A.8 Zabezpieczenia technologiczne (34 controls)

Druga największa grupa. Pełen zakres bezpieczeństwa technicznego.

A.8.1-A.8.5 Dostęp

  • A.8.1 User end point devices - urządzenia użytkownika.
  • A.8.2 Privileged access rights - konta uprzywilejowane, PAM/PIM.
  • A.8.3 Information access restriction - ograniczenie dostępu.
  • A.8.4 Access to source code - dostęp do kodu źródłowego.
  • A.8.5 Secure authentication - MFA, FIDO2, secure session management.

A.8.6-A.8.8 Capacity, malware, vulnerabilities

  • A.8.6 Capacity management - zarządzanie pojemnością.
  • A.8.7 Protection against malware - antywirus, EDR, application whitelist.
  • A.8.8 Management of technical vulnerabilities - vulnerability scanning, patch management. Zob. Skanowanie podatności.

A.8.9-A.8.12 Konfiguracja i dane (NOWE)

  • A.8.9 Configuration management (NOWY) - CMDB, baselines, hardening. Zob. Hardening.
  • A.8.10 Information deletion (NOWY) - secure deletion. Zgodne z retencją RODO.
  • A.8.11 Data masking (NOWY) - maskowanie danych w środowiskach test/dev.
  • A.8.12 Data leakage prevention (NOWY) - DLP, monitoring transferu wrażliwych danych.

A.8.13-A.8.14 Backup i odporność

  • A.8.13 Information backup - kopie zapasowe (3-2-1, regularne testy odzyskiwania).
  • A.8.14 Redundancy of information processing facilities - redundancja infrastruktury.

A.8.15-A.8.19 Logging i monitoring

  • A.8.15 Logging - logi systemowe, retencja, ochrona przed manipulacją.
  • A.8.16 Monitoring activities (NOWY) - SIEM, behavior analytics.
  • A.8.17 Clock synchronisation - synchronizacja czasu (NTP).
  • A.8.18 Use of privileged utility programs - użycie programów uprzywilejowanych.
  • A.8.19 Installation of software on operational systems - instalacja oprogramowania.

A.8.20-A.8.22 Sieć

  • A.8.20 Networks security - bezpieczeństwo sieci.
  • A.8.21 Security of network services - bezpieczeństwo usług sieciowych.
  • A.8.22 Segregation of networks - segmentacja sieci, microsegmentation.

A.8.23-A.8.24 Web i kryptografia

  • A.8.23 Web filtering (NOWY) - filtrowanie WWW, blokowanie złośliwych domen.
  • A.8.24 Use of cryptography - polityka kryptograficzna, zarządzanie kluczami.

A.8.25-A.8.32 Rozwój i zmiany

  • A.8.25 Secure development lifecycle - SDLC.
  • A.8.26 Application security requirements - wymagania bezpieczeństwa aplikacji.
  • A.8.27 Secure system architecture and engineering principles - architektura.
  • A.8.28 Secure coding (NOWY) - bezpieczne kodowanie. OWASP Top 10 [6], SANS Top 25.
  • A.8.29 Security testing in development and acceptance - SAST, DAST, pentest.
  • A.8.30 Outsourced development - rozwój zlecony.
  • A.8.31 Separation of development, test and production environments - separacja środowisk.
  • A.8.32 Change management - zarządzanie zmianą.

A.8.33-A.8.34 Test data i audyt

  • A.8.33 Test information - bezpieczeństwo danych testowych.
  • A.8.34 Protection of information systems during audit testing - ochrona podczas testów audytowych.

Mapping do NIST CSF, CIS, OWASP

ISO 27002 vs NIST CSF 2.0

NIST Cybersecurity Framework 2.0 [4] - amerykański framework. 6 funkcji: Govern, Identify, Protect, Detect, Respond, Recover. Mniej szczegółowy niż ISO 27002.

Mapping bezpośredni: atrybuty 27002 zawierają mapping do CSF concepts. Praktyka: organizacje używają obu - NIST CSF jako framework strategiczny + ISO 27002 jako implementacja.

ISO 27002 vs CIS Controls v8

CIS Critical Security Controls [5] - 18 kontroli z Center for Internet Security. Mniej formalny, bardziej praktyczny.

Każdy CIS Control ma mapping do ISO 27002 controls. CIS bardziej szczegółowy w obszarze technicznym (np. CIS Control 1 - Inventory of Hardware Assets = A.5.9 + szczegółowe sub-controls).

ISO 27002 vs OWASP

OWASP Top 10:2021 [6] - lista 10 najpoważniejszych podatności aplikacji web. ISO 27002 A.8.28 Secure coding ogólnie odsyła do OWASP. OWASP ASVS (Application Security Verification Standard) - szczegółowe wymagania dla bezpieczeństwa aplikacji.

ISO 27002 vs NIST SP 800-53

NIST SP 800-53 - katalog kontroli federalnych USA. Bardziej rozbudowany niż ISO 27002 (1000+ controls). Stosowany głównie w sektorze publicznym USA.

Praktyczne podejście wielomodelowe

Dojrzała organizacja używa kilku frameworków równolegle:

  • ISO 27001/27002 - certyfikacja, baza SZBI.
  • NIST CSF - framework strategiczny, raportowanie do zarządu.
  • CIS Controls - praktyczne kroki implementacyjne, priorytetyzacja.
  • OWASP - bezpieczeństwo aplikacji.
  • Regulacje (KSC, NIS2, RODO) - obowiązki prawne.

Wdrożenie controls w praktyce

Etapowość wdrożenia

Implementacja 93 controls od zera w średniej organizacji - 9-18 miesięcy. Etapy:

Faza 1: Foundation (1-3 miesiące)

  • A.5.1 Policies, A.5.2-A.5.4 Roles.
  • A.5.9 Inventory, A.5.12 Classification.
  • A.5.15-A.5.18 Access control basics.

Faza 2: Core protection (3-6 miesięcy)

  • A.8.5 MFA, A.8.2 Privileged access.
  • A.8.7 Anti-malware, A.8.8 Vulnerability management.
  • A.8.13 Backup, A.7.5 Environmental.
  • A.6.3 Awareness training.

Faza 3: Detection (6-9 miesięcy)

  • A.8.15 Logging, A.8.16 Monitoring.
  • A.5.7 Threat intelligence.
  • A.7.4 Physical monitoring.
  • A.8.23 Web filtering.

Faza 4: Response and recovery (9-12 miesięcy)

  • A.5.24-A.5.28 Incident management.
  • A.5.29-A.5.30 BCP/DR.
  • A.6.4 Disciplinary process.

Faza 5: Maturity (12-18 miesięcy)

  • A.5.19-A.5.22 Supplier management.
  • A.8.25-A.8.30 SDLC (jeśli rozwija się oprogramowanie).
  • A.8.11 Data masking, A.8.12 DLP.
  • A.8.28 Secure coding programs.

Priorytetyzacja

Nie wszystkie controls trzeba implementować od razu - priorytetyzacja oparta na:

  • Analizie ryzyka - co adresuje największe ryzyka organizacji.
  • Wymaganiach regulacyjnych - co jest obligatoryjne dla KSC/NIS2/RODO.
  • Quick wins - łatwe wdrożenia o wysokim wpływie.
  • Dependencies - co jest podstawą dla innych controls.

Zasoby

Typowe role zaangażowane:

  • CISO / ISMS Manager - koordynacja całości.
  • IT Operations - controls A.8 (technologiczne).
  • HR - controls A.6 (personalne).
  • Facilities - controls A.7 (fizyczne).
  • Legal - controls A.5.19-A.5.22 (supplier), A.5.31-A.5.34 (compliance).
  • Development / DevOps - controls A.8.25-A.8.32.

Najczęstsze błędy implementacji

  1. Wdrażanie wszystkich 93 controls bez analizy ryzyka[11]. Drogie i często nieadekwatne. Lepiej priorytetyzować.
  2. Polityki istnieją, controls nie wdrożone. Klasyczna luka - papier OK, praktyka brakuje.
  3. Brak guidance 27002 podczas audytu. Audytor pyta o szczegóły - bez 27002 trudno odpowiedzieć.
  4. Pominięcie nowych controls 2022. Threat intelligence, DLP, secure coding często brakuje.
  5. A.5.19-A.5.22 (łańcuch dostaw) jako formalność. Brak rzeczywistego audytu dostawców.
  6. Backup bez testu odzyskiwania. A.8.13 wymaga testów - klasyczna luka.
  7. Brak segregacji obowiązków (A.5.3). Mała organizacja - jedna osoba ma za dużo uprawnień.
  8. A.8.16 Monitoring activities tylko technicznie. Nie obejmuje monitoringu zachowań biznesowych (np. anomalous logins, data exfiltration patterns).
  9. Konfiguracje na poziomie domyślnym (A.8.9). Brak benchmarków CIS, hardening minimalny.
  10. A.6.3 Szkolenia raz na 3 lata. Niewystarczające - zalecane minimum rocznie.
  11. Brak A.5.5 Contact with authorities. W razie incydentu - nie wiadomo kogo informować.
  12. A.5.34 Privacy bez integracji z RODO. Brak procedury obsługi praw osób, DPIA.

Checklist: 10 priorytetowych controls ISO 27002

Lista quick-win controls do wdrożenia najpierw. Bazowe pokrycie najważniejszych ryzyk.

  1. A.5.1 Policies - polityka bezpieczeństwa zatwierdzona, znana personelowi.
  2. A.5.9 Inventory + A.5.12 Classification - inwentarz aktywów i klasyfikacja informacji.
  3. A.6.3 Awareness - szkolenia min. raz w roku. Zob. Security Awareness.
  4. A.8.5 MFA + A.8.2 Privileged access - MFA dla zdalnego dostępu i kont admin.
  5. A.8.7 Anti-malware + A.8.8 Vulnerability management - antywirus, vulnerability scanning. Zob. Skanowanie.
  6. A.8.13 Backup + test - 3-2-1 z testem odzyskiwania.
  7. A.8.15 Logging + A.8.16 Monitoring - SIEM, retencja 12 miesięcy.
  8. A.8.24 Use of cryptography - TLS 1.3, AES-256, polityka kluczy.
  9. A.5.24-A.5.28 Incident management - procedura, testy.
  10. A.5.7 Threat intelligence (nowy) - feedy zewnętrzne, integracja z SIEM.

Najczęściej zadawane pytania

Co to ISO 27002?

ISO/IEC 27002 to międzynarodowa norma stanowiąca kodeks dobrych praktyk dla bezpieczeństwa informacji. Aktualne wydanie: ISO/IEC 27002:2022 (polski odpowiednik PN-EN ISO/IEC 27002:2022-08).

Norma zawiera szczegółowe wytyczne implementacyjne dla 93 zabezpieczeń wymienionych w Annex A ISO 27001:2022. Dla każdego zabezpieczenia: control statement (cel), purpose (uzasadnienie), guidance (jak implementować), atrybuty.

ISO 27002 nie jest certyfikowana - to przewodnik. Stosuje się ją wspólnie z ISO 27001 - 27001 mówi CO, 27002 mówi JAK.

Czym różni się ISO 27001 od 27002?

ISO 27001 to norma SZBI z wymaganiami zarządczymi (klauzule 4-10) i Annex A z 93 zabezpieczeniami (krótkie tytuły). Można się certyfikować.

ISO 27002 to kodeks praktyk zawierający szczegóły implementacji dla każdego z 93 zabezpieczeń. Nie jest certyfikowana - to przewodnik.

Stosowane razem: 27001 to wymagania compliance, 27002 to instrukcja how-to. W audycie ISO 27001 audytor odwołuje się do 27002 by ocenić jakość implementacji.

Co to atrybuty zabezpieczeń?

ISO 27002:2022 wprowadziło atrybuty dla każdego control - 5 kategorii:

  1. Control type: Preventive / Detective / Corrective.
  2. Information security properties: CIA (Confidentiality / Integrity / Availability).
  3. Cybersecurity concepts (NIST CSF): Identify / Protect / Detect / Respond / Recover.
  4. Operational capabilities: 15 kategorii (Governance, Asset management, IAM, itd.).
  5. Security domains: 4 domeny (Governance and ecosystem, Protection, Defence, Resilience).

Atrybuty pomagają w filtrowaniu, raportowaniu i mapowaniu do innych frameworków.

Czy ISO 27002 jest obowiązkowa?

Sama ISO 27002 nie jest certyfikowana ani prawnie obowiązkowa - to przewodnik. Jednak:

  1. Organizacja certyfikująca się na ISO 27001 w praktyce musi opierać się na 27002.
  2. Regulacje (KSC § 8 ust. 5, KRI § 20 ust. 3) odsyłają do PN-ISO/IEC 27001 i 27002.
  3. Audytor KSC/NIS2/KRI/RODO często weryfikuje zgodność z ISO 27002 jako benchmarkiem.

Praktyka: ISO 27002 jest de facto wymagana dla każdej organizacji wdrażającej formalne SZBI.

Jakie nowe controls w 27002:2022?

11 nowych zabezpieczeń wprowadzonych w 27002:2022:

  1. A.5.7 Threat intelligence.
  2. A.5.23 Information security for cloud services.
  3. A.5.30 ICT readiness for business continuity.
  4. A.7.4 Physical security monitoring.
  5. A.8.9 Configuration management.
  6. A.8.10 Information deletion.
  7. A.8.11 Data masking.
  8. A.8.12 Data leakage prevention.
  9. A.8.16 Monitoring activities.
  10. A.8.23 Web filtering.
  11. A.8.28 Secure coding.

Wszystkie odpowiadają nowoczesnym zagrożeniom (cloud, advanced threats, data leakage).

ISO 27002 vs NIST CSF - co wybrać?

Oba mają różne cele - mogą być stosowane razem.

ISO 27002 - lista controls z szczegółami implementacji. Konkretne 93 zabezpieczenia. Podstawa SZBI (z ISO 27001).

NIST CSF 2.0 - wysokopoziomowe ramy oparte na 6 funkcjach: Govern, Identify, Protect, Detect, Respond, Recover. Strategiczny.

Wybór:

  • Dla certyfikacji ISO 27001 = ISO 27002.
  • Dla ogólnego framework (zwłaszcza USA) = NIST CSF.
  • Dla pełnej dojrzałości = oba razem.
Co to operational capabilities?

Operational capabilities to jedna z 5 grup atrybutów ISO 27002:2022 - 15 kategorii operacyjnych:

Governance, Asset management, Information protection, Human resource security, Physical security, System and network security, Application security, Secure configuration, Identity and access management, Threat and vulnerability management, Continuity, Supplier relationships security, Legal and compliance, Information security event management, Information security assurance.

Pomagają w organizacji controls według odpowiedzialności zespołów - inżynierowie sieci, deweloperzy, HR, prawnicy widzą tylko swoje kategorie.

Czy 27002 mówi wszystko co trzeba?

Nie - ISO 27002 daje wytyczne ogólne, ale w praktyce potrzebne są bardziej szczegółowe normy:

  • Kryptografia (A.8.24): ISO 27040, NIST SP 800-57, RFC 8446.
  • Cloud (A.5.23): ISO 27017, 27018.
  • Application security (A.8.25-A.8.30): OWASP Top 10, OWASP ASVS.
  • Network security (A.8.20-A.8.22): NIST SP 800-41, SP 800-77.
  • Incident response (A.5.24-A.5.28): ISO 27035, NIST SP 800-61.
  • Risk management: ISO 27005, NIST SP 800-30, FAIR.

ISO 27002 to punkt wyjścia, dla pełnej implementacji każdego control trzeba odwołać się do bardziej specjalistycznych norm.

Jak wdrożyć control A.5.7 Threat intelligence?

A.5.7 Threat intelligence - nowy control w 27002:2022. Implementacja:

  1. Źródła - CERT Polska, ENISA, komercyjne TI (Recorded Future, AlienVault OTX, MISP), sharing groups (FS-ISAC).
  2. Procesy zbierania - automatyczne (MISP, OpenCTI) + manualne.
  3. Analiza - mapowanie do aktywów organizacji.
  4. Dystrybucja - SOC, zarząd, użytkownicy szkolenia.
  5. Wykorzystanie - integracja z SIEM.
  6. Wymiana - dwustronna z innymi organizacjami.

Skala: mikrofirma - free feeds + CERT Polska; średnia - 1-2 komercyjne TI; duża - dedykowany zespół z platformą enterprise.

Co to control statement vs purpose vs guidance?

Każde zabezpieczenie w ISO 27002:2022 ma standaryzowaną strukturę:

  1. Control - krótka, normatywna definicja co należy zrobić.
  2. Purpose - dlaczego, jakie zagrożenia łagodzi.
  3. Guidance - szczegółowe instrukcje implementacji.
  4. Other information - dodatkowe konteksty, odsyłniki.

Struktura jednorodna dla wszystkich 93 zabezpieczeń ułatwia audytorom i implementatorom.

Czy small business potrzebuje wszystkich 93 controls?

Nie. ISO 27001 wymaga zastosowania controls uzasadnionych analizą ryzyka. Małe firmy zwykle wyłączają znaczną część - typowo 30-60 z 93.

Wyłączenia muszą być uzasadnione w SoA. Przykłady wyłączeń dla małej firmy SaaS B2B:

  • A.5.31 (international transfers) - jeśli wszystko w EU.
  • A.7.1, A.7.3 (physical security) - jeśli brak biura.
  • A.7.10, A.7.14 (storage media) - jeśli cloud-native.
  • A.8.25-A.8.30 (development) - jeśli tylko SaaS.

Wyłączenia ułatwiają wdrożenie, ale każde wymaga przemyślenia.

Jak audyt sprawdza implementację controls z 27002?

Audytor weryfikuje implementację trzema metodami:

  1. Przegląd dokumentacji - polityki, procedury, instrukcje.
  2. Wywiady z personelem - czy pracownicy wiedzą i stosują.
  3. Próbkowanie dowodów - logi, raporty, zdjęcia, screeny.

Przykład dla A.8.13 (Backup): dokumentacja (procedura?), wywiad z IT (harmonogram, ostatni test?), próbkowanie (logi backupu, raport testu odzyskiwania).

Niezgodności: major / minor / OFI. Po audycie - raport z findings i plan działań korygujących.

Potrzebujesz konsultacji w zakresie ISO 27002?

Bezpłatna 30-60 minutowa konsultacja. Bez zobowiązań. Omawiamy implementację 93 controls, priorytetyzację, integrację z ISO 27001 lub KSC/NIS2.

Zadzwoń: +48 691 122 312 office@4crypto.eu

Powiązane treści

Normy i regulacje

Usługi związane

Bibliografia i źródła

Wszystkie cytowane źródła są publicznie dostępne. Normy ISO/IEC są płatne, dostępne przez krajowe komitety normalizacyjne.

  1. [1]standardISO/IEC (2022). ISO/IEC 27002:2022 - Information security, cybersecurity and privacy protection - Information security controls · https://www.iso.org/standard/75652
  2. [2]standardPolski Komitet Normalizacyjny (2022). PN-EN ISO/IEC 27002:2022-08 - polska wersja · https://www.pkn.pl
  3. [3]standardISO/IEC (2022). ISO/IEC 27001:2022 - Information security management systems - Requirements · https://www.iso.org/standard/27001
  4. [4]standardNational Institute of Standards and Technology (NIST) (2024). NIST Cybersecurity Framework (CSF) 2.0 · https://www.nist.gov/cyberframework
  5. [5]standardCenter for Internet Security (2021). CIS Critical Security Controls v8 · https://www.cisecurity.org/controls
  6. [6]standardOpen Web Application Security Project (OWASP) (2021). OWASP Top 10:2021 · https://owasp.org/Top10/
  7. [7]regulationSejm RP (2018). Ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Dz.U. 2018 poz. 1560 · https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20180001560
  8. [8]regulationParlament Europejski, Rada UE (2016). Rozporządzenie (UE) 2016/679 (RODO). Dz.U. UE L 119, 4.5.2016 · https://eur-lex.europa.eu/eli/reg/2016/679/oj
  9. [9]standardInternational Organization for Standardization (2017). ISO/IEC 27003:2017 - Information security management systems - Guidance. ISO/IEC · https://www.iso.org/standard/63417.html
  10. [10]standardInternational Organization for Standardization (2016). ISO/IEC 27004:2016 - Information security management - Monitoring, measurement, analysis and evaluation. ISO/IEC · https://www.iso.org/standard/64120.html
  11. [11]standardInternational Organization for Standardization (2022). ISO/IEC 27005:2022 - Guidance on managing information security risks. ISO/IEC · https://www.iso.org/standard/80585.html
  12. [12]standardInternational Organization for Standardization (2015). ISO/IEC 27017:2015 - Code of practice for information security controls for cloud services. ISO/IEC · https://www.iso.org/standard/43757.html
  13. [13]standardInternational Organization for Standardization (2019). ISO/IEC 27018:2019 - Code of practice for PII protection in public clouds. ISO/IEC · https://www.iso.org/standard/76559.html
  14. [14]standardInternational Organization for Standardization (2019). ISO/IEC 27701:2019 - Privacy Information Management System (PIMS) - Requirements and guidelines. ISO/IEC · https://www.iso.org/standard/71670.html
  15. [15]standardJoint Task Force (2020). NIST SP 800-53 Rev. 5: Security and Privacy Controls for Information Systems and Organizations. NIST. DOI: 10.6028/NIST.SP.800-53r5 · https://doi.org/10.6028/NIST.SP.800-53r5
  16. [16]standardCloud Security Alliance (2024). Cloud Controls Matrix (CCM) v4. CSA · https://cloudsecurityalliance.org/research/cloud-controls-matrix/
  17. [17]reportEuropean Union Agency for Cybersecurity (ENISA) (2023). Cybersecurity guide for SMEs - 12 steps to securing your business. ENISA · https://www.enisa.europa.eu/topics/cybersecurity-for-smes
  18. [18]standardCenter for Internet Security (2024). CIS Critical Security Controls Version 8.1. CIS · https://www.cisecurity.org/controls
  19. [19]reportEuropean Union Agency for Cybersecurity (ENISA) (2024). ENISA Threat Landscape 2024. ENISA, Heraklion. DOI: 10.2824/0710888 · https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024
  20. [20]peer-reviewedVielberth, M., B�hm, F., Fichtinger, I., Pernul, G. (2020). Security Operations Center: A Systematic Study and Open Challenges. IEEE Access, vol. 8, pp. 227756-227779. DOI: 10.1109/ACCESS.2020.3045514 · https://doi.org/10.1109/ACCESS.2020.3045514