Aktualizace normy ISO/IEC 27001 je tu! Nově vydaná norma, stejně jako ta z roku 2013, obsahuje základy jako: kontext, bezpečnostní politiku interního systému, řízení rizik a interní audit, pouze s drobnými změnami, na které jsme již zvyklí například u normy ISO 9001.
Kde nastaly největší změny? V implementaci (ISO/IEC 27002: 2022), která se nově kategorizuje do 4 témat z původních 14. Konkrétně jde o témata: „lidé“, „organizační“, „technologické“ a „fyzické“.
Celkový počet opatření v ISO/IEC 27002: 2022 klesl ze 114 na 93. 11 opatření je nových, 24 je sloučeno z těch stávajících a 58 jich je aktualizováno. Jedná se například o: „informační bezpečnost pro využívání cloudových služeb“, „monitorování fyzické bezpečnosti“, „správa konfigurace“, „prevence úniku dat“ a další.
ZMĚNY V ISO/IEC 27001: 2022
- Článek 6. 1. 3. obdržel pouhé redakční úpravy.
- Příloha A odkazuje na opatření z normy ISO/IEC 27002:2022.
- Došlo k revidování struktury opatření, ta zavádí „atribut“ a „účel“ každému opatření a pro skupinu opatření již nepoužívá „cíl“.
CO TO ZNAMENÁ PRO JIŽ CERTIFIKOVANÉ ORGANIZACE?
Přechodové období je v tomto případě tříleté, na přechod k nové verzi máte čas do 31. 10. 2025. Od 1. 11. 2025 se tak audity budou provádět podle nové verze normy a certifikáty ISO/IEC 27001: 2013 budou neplatné.
V rámci nadcházejících recertifikačních či dozorových auditů tak musí dojít k přechodu na novou verzi ISO/IEC 27001:2022. U všech certifikovaných organizací jsme z hlediska akreditačních pravidel také povinni přidat minimálně 0,5 auditního dne k prověření aplikace změn ISO/IEC 27001: 2022.
CO TO ZNAMENÁ PRO NOVĚ CERTIFIKOVANÉ ORGANIZACE?
Plánujete-li certifikaci ISO 27001 v roce 2023, budete certifikováni rovnou podle nových požadavků ISO 27001:2022.
CO BĚHEM AUDITŮ BUDE NEJVÍCE ZAJÍMAT CERTIFIKAČNÍ ORGÁNY?
- Analýza dopadů ISO/IEC 27001: 2022, ISO/IEC 27002: 2022 a potřebné změny ve vašem ISMS.
- Revize lidských, technických, organizačních a fyzických opatření souvisejících s ISO/IEC 27001: 2022.
- Aktualizace PoA (prohlášení o aplikovatelnosti).
- Jak jsou u vás implementovány nové/změněné postupy, činnosti a jak jsou účinné.
CO VÁM USNADNÍ PŘECHOD NA NOVÉ VYDÁNÍ NORMY?
- Zaregistrujte se na naše školení interního auditora, kde vás detailně seznámíme se všemi změnami, požadavky a porozumíte strategickým východiskům, cílům a celkově novému přístupu k managementu informační bezpečnosti.
- Proveďte analýzu (dle ISO/IEC 27005:2022) nových opatření a rozdělení aktiv, realizujte opatření z analýzy a implementujte je do procesů ISMS (Systém řízení bezpečnosti informací) a provozní dokumentace.
- Aktualizujte PoA (prohlášení o aplikovatelnosti) a s ohledem na nová opatření proveďte interní audit a přezkoumání managementu.
- Využijte mimořádný audit od Bureau Veritas. Zjistíte, co vám k přechodu chybí a jak ho úspěšně zvládnout.
SHRNUTÍ
Změny v normě ISO/IEC 27001: 2022 musely dříve či později nastat s ohledem na technologie, globalizaci a současné potřeby uživatelů a zúčastněných stran. Změny obecně nejsou nijak velkého rozsahu, dotýkají se hlavně způsobu pravidelných kontrol ve společnostech a pomohou zlepšit nastavené procesy i ISMS.
Můžeme však očekávat, že do jisté míry ovlivní dokumentaci, kterou společnost má, a minimálně implementaci.
Kdo je připraven, není překvapen. Chcete-li hladký přechod na novou normu, využijte školení interního auditora, kde vás detailně seznámíme se všemi změnami a požadavky nové normy.
Potřebujete-li více informací o aplikaci změn či výkladu normy, nezávazně nás kontaktujte, naši techničtí specialisté jsou vám k dispozici.