Aktualizácia normy ISO 27001 je tu! Novo vydaná norma, rovnako ako tá z roku 2013, obsahuje základy ako: kontext, bezpečnostnú politiku interného systému, riadenie rizík a interný audit, len s drobnými zmenami, na ktoré sme už zvyknutí napríklad pri norme ISO 9001.
Kde nastali najväčšie zmeny? V implementácii (ISO/IEC 27002: 2022), ktorá sa po novom kategorizuje do 4 tém z pôvodných 14. Konkrétne sa jedná o témy: „ľudia“, „organizačné“, „technologické“ a „fyzické“.
Celkový počet opatrení v ISO/IEC 27002: 2022 klesol zo 114 na 93. 11 opatrení je nových, 24 je zlúčených z tých zostávajúcich a 58 ich je aktualizovaných. Jedná sa napríklad o: „informačnú bezpečnosť pre využívanie cloudových služieb“, „monitorovanie fyzickej bezpečnosti“, „správa konfigurácie“, „prevencia úniku dát“ a ďalšie.
ZMENY V ISO/IEC 27001: 2022
- Článok 6. 1. 3. prešiel len redakčnými úpravami.
- Príloha A odkazuje na opatrenia z normy ISO/IEC 27002:2022.
- Došlo k revidovaniu štruktúry opatrení, tá zavádza „atribút“ a „účel“ každému opatreniu a pre skupinu opatrení už nepoužíva „cieľ“.
ČO TO ZNAMENÁ PRE UŽ CERTIFIKOVANÉ ORGANIZÁCIE?
Prechodné obdobie je v tomto prípade trojročné, na prechod k novej verzii máte čas do 31. 10. 2025. Od 1. 11. 2025 sa tak audity budú vykonávať podľa novej verzie normy a certifikáty ISO/IEC 27001: 2013 budú neplatné.
V rámci nadchádzajúcich recertifikačných či dozorných auditov tak musí prísť k prechodu na novú verziu ISO/IEC 27001:2022. Pri všetkých certifikovaných organizáciách sme z hľadiska akreditačných pravidiel tiež povinní pridať minimálne 0,5 auditného dňa k prevereniu aplikácie zmien ISO/IEC 27001: 2022.
ČO TO ZNAMENÁ PRE NOVO CERTIFIKOVANÉ ORGANIZÁCIE?
Ak plánujete certifikáciu ISO 27001 v roku 2023, budete certifikovaný rovno podľa nových požiadaviek ISO 27001:2022.
ČO BEHOM AUDITU BUDE NEJVIAC ZAUJÍMAŤ CERTIFIKAČNÉ ORGÁNY?
- Analýza dopadov ISO/IEC 27001: 2022, ISO/IEC 27002: 2022 a potrebné zmeny vo vašom ISMS.
- Revízia ľudských, technických, organizačných a fyzických opatrení súvisejúcich s ISO/IEC 27001: 2022.
- Aktualizácia PoA (prehlásenie o aplikovateľnosti).
- Ako sú u vás implementované nové/zmenené postupy, činnosti a ako sú účinné.
ČO VÁM UĽAHČÍ PRECHOD NA NOVO VYDANÉ NORMY?
- Zaregistrujte sa na naše školenie interného audítora, kde vás detailne zoznámime so všetkými zmenami, požiadavkami a porozumiete strategickým východiskám, cieľom a celkovo novému prístupu k managementu informačnej bezpečnosti.
- Vykonajte analýzu (podľa ISO/IEC 27005:2022) nových opatrení a rozdelenie aktív, realizujte opatrenia z analýzy a implementujte ich do procesov ISMS (Systém riadenia bezpečnosti informácií) a prevádzkovej dokumentácie.
- Aktualizujte PoA (prehlásenie o aplikovateľnosti) a s ohľadom na nové opatrenia vykonajte interný audit a preskúmanie managementu.
- Využite mimoriadny audit od Bureau Veritas. Zistite, čo vám k prechodu chýba a ako ho úspešne zvládnuť.
ZHRNUTIE
Zmeny v norme ISO/IEC 27001: 2022 museli skôr či neskôr nastať s ohľadom na technológie, globalizáciu a súčasné potreby užívateľov a zúčastnených strán. Zmeny všeobecne nie sú nijak veľkého rozsahu, dotýkajú sa hlavne spôsobu pravidelných kontrol v spoločnostiach a pomôžu zlepšiť nastavené procesy i ISMS.
Môžeme však očakávať, že do istej miery ovplyvní dokumentáciu, ktorú spoločnosť má a minimálne implementáciu.
Kto je pripravený, nie je prekvapený. Ak chcete hladký prechod na novú normu, využite školenie interného audítora, kde vás detailne zoznámime so všetkými zmenami a požiadavkami novej normy.
Ak potrebujete viac informácií o aplikácii zmien alebo výkladu normy, nezáväzne nás kontaktujte, naši technický špecialisti sú vám k dispozícii.