Nová verzia normy ISO 27001: Najdôležitejšie zmeny v ISO/IEC 27001: 2022

Aktualizácia normy ISO 27001 je tu! Novo vydaná norma, rovnako ako tá z roku 2013, obsahuje základy ako: kontext, bezpečnostnú politiku interného systému, riadenie rizík a interný audit, len s drobnými zmenami, na ktoré sme už zvyknutí napríklad pri norme ISO 9001.

Kde nastali najväčšie zmeny? V implementácii (ISO/IEC 27002: 2022), ktorá sa po novom  kategorizuje do 4 tém z pôvodných 14. Konkrétne sa jedná o témy: „ľudia“, „organizačné“, „technologické“ a „fyzické“.

Celkový počet opatrení v ISO/IEC 27002: 2022 klesol zo 114 na 93. 11 opatrení je nových, 24 je zlúčených z tých zostávajúcich a 58 ich je aktualizovaných. Jedná sa napríklad o: „informačnú bezpečnosť pre využívanie cloudových služieb“, „monitorovanie fyzickej bezpečnosti“, „správa konfigurácie“, „prevencia úniku dát“ a ďalšie.

ZMENY V ISO/IEC 27001: 2022

• Článok 6. 1. 3. prešiel len redakčnými úpravami.
• Príloha A odkazuje na opatrenia z normy ISO/IEC 27002:2022.
• Došlo k revidovaniu štruktúry opatrení, tá zavádza „atribút“ a „účel“ každému opatreniu a pre skupinu opatrení už nepoužíva „cieľ“.

ČO TO ZNAMENÁ PRE UŽ CERTIFIKOVANÉ ORGANIZÁCIE?

Prechodné obdobie je v tomto prípade trojročné, na prechod k novej verzii máte čas do 31. 10. 2025. Od 1. 11. 2025 sa tak audity budú vykonávať podľa novej verzie normy a certifikáty ISO/IEC 27001: 2013 budú neplatné.

V rámci nadchádzajúcich recertifikačných či dozorných auditov tak musí prísť k prechodu na novú verziu ISO/IEC 27001:2022. Pri všetkých certifikovaných organizáciách sme z hľadiska akreditačných pravidiel tiež povinní pridať minimálne 0,5 auditného dňa k prevereniu aplikácie zmien ISO/IEC 27001: 2022.

ČO TO ZNAMENÁ PRE NOVO CERTIFIKOVANÉ ORGANIZÁCIE?

Ak plánujete certifikáciu ISO 27001 v roku 2023, budete certifikovaný rovno podľa nových požiadaviek ISO 27001:2022.

ČO BEHOM AUDITU BUDE NEJVIAC ZAUJÍMAŤ CERTIFIKAČNÉ ORGÁNY?

• Analýza dopadov ISO/IEC 27001: 2022, ISO/IEC 27002: 2022 a potrebné zmeny vo vašom ISMS.
• Revízia ľudských, technických, organizačných a fyzických opatrení súvisejúcich s ISO/IEC 27001: 2022.
• Aktualizácia PoA (prehlásenie o aplikovateľnosti).
• Ako sú u vás implementované nové/zmenené postupy, činnosti a ako sú účinné.

ČO VÁM UĽAHČÍ PRECHOD NA NOVO VYDANÉ NORMY?

• Zaregistrujte sa na naše školenie interného audítora, kde vás detailne zoznámime so všetkými zmenami, požiadavkami a porozumiete strategickým východiskám, cieľom a celkovo novému prístupu k managementu informačnej bezpečnosti.
• Vykonajte analýzu (podľa ISO/IEC 27005:2022) nových opatrení a rozdelenie aktív, realizujte opatrenia z analýzy a implementujte ich do procesov ISMS (Systém riadenia bezpečnosti informácií) a prevádzkovej dokumentácie.
• Aktualizujte PoA (prehlásenie o aplikovateľnosti) a s ohľadom na nové opatrenia vykonajte interný audit a preskúmanie managementu.
• Využite mimoriadny audit od Bureau Veritas. Zistite, čo vám k prechodu chýba a ako ho úspešne zvládnuť.

ZHRNUTIE

Zmeny v norme ISO/IEC 27001: 2022 museli skôr či neskôr nastať s ohľadom na technológie, globalizáciu a súčasné potreby užívateľov a zúčastnených strán. Zmeny všeobecne nie sú nijak veľkého rozsahu, dotýkajú sa hlavne spôsobu pravidelných kontrol v spoločnostiach a pomôžu zlepšiť nastavené procesy i ISMS.

Môžeme však očakávať, že do istej miery ovplyvní dokumentáciu, ktorú spoločnosť má a minimálne implementáciu.

Kto je pripravený, nie je prekvapený. Ak chcete hladký prechod na novú normu, využite školenie interného audítora, kde vás detailne zoznámime so všetkými zmenami a požiadavkami novej normy.

Ak potrebujete viac informácií o aplikácii zmien alebo výkladu normy, nezáväzne nás kontaktujte, naši technický špecialisti sú vám k dispozícii.