ISO 27

News

Nová verze normy ISO/IEC 27001: Nejdůležitější změny v ISO/IEC 27001: 2022

16 Úno. 2023

Aktualizace normy ISO/IEC 27001 je tu! Nově vydaná norma, stejně jako ta z roku 2013, obsahuje základy jako: kontext, bezpečnostní politiku interního systému, řízení rizik a interní audit, pouze s drobnými změnami, na které jsme již zvyklí například u normy ISO 9001.

Kde nastaly největší změny? V implementaci (ISO/IEC 27002: 2022), která se nově kategorizuje do 4 témat z původních 14. Konkrétně jde o témata: „lidé“, „organizační“, „technologické“ a „fyzické“.

Celkový počet opatření v ISO/IEC 27002: 2022 klesl ze 114 na 93. 11 opatření je nových, 24 je sloučeno z těch stávajících a 58 jich je aktualizováno. Jedná se například o: „informační bezpečnost pro využívání cloudových služeb“, „monitorování fyzické bezpečnosti“, „správa konfigurace“, „prevence úniku dat“ a další.

ZMĚNY V ISO/IEC 27001: 2022

  • Článek 6. 1. 3. obdržel pouhé redakční úpravy.
  • Příloha A odkazuje na opatření z normy ISO/IEC 27002:2022.
  • Došlo k revidování struktury opatření, ta zavádí „atribut“ a „účel“ každému opatření a pro skupinu opatření již nepoužívá „cíl“.    

CO TO ZNAMENÁ PRO JIŽ CERTIFIKOVANÉ ORGANIZACE?

Přechodové období je v tomto případě tříleté, na přechod k nové verzi máte čas do 31. 10. 2025. Od 1. 11. 2025 se tak audity budou provádět podle nové verze normy a certifikáty ISO/IEC 27001: 2013 budou neplatné.

V rámci nadcházejících recertifikačních či dozorových auditů tak musí dojít k přechodu na novou verzi ISO/IEC 27001:2022. U všech certifikovaných organizací jsme z hlediska akreditačních pravidel také povinni přidat minimálně 0,5 auditního dne k prověření aplikace změn ISO/IEC 27001: 2022.

CO TO ZNAMENÁ PRO NOVĚ CERTIFIKOVANÉ ORGANIZACE?

Plánujete-li certifikaci ISO 27001 v roce 2023, budete certifikováni rovnou podle nových požadavků ISO 27001:2022.

CO BĚHEM AUDITŮ BUDE NEJVÍCE ZAJÍMAT CERTIFIKAČNÍ ORGÁNY?

  • Analýza dopadů ISO/IEC 27001: 2022, ISO/IEC 27002: 2022 a potřebné změny ve vašem ISMS.
  • Revize lidských, technických, organizačních a fyzických opatření souvisejících s ISO/IEC 27001: 2022.
  • Aktualizace PoA (prohlášení o aplikovatelnosti).
  • Jak jsou u vás implementovány nové/změněné postupy, činnosti a jak jsou účinné.

CO VÁM USNADNÍ PŘECHOD NA NOVÉ VYDÁNÍ NORMY?

  • Zaregistrujte se na naše školení interního auditora, kde vás detailně seznámíme se všemi změnami, požadavky a porozumíte strategickým východiskům, cílům a celkově novému přístupu k managementu informační bezpečnosti.
  • Proveďte analýzu (dle ISO/IEC 27005:2022) nových opatření a rozdělení aktiv, realizujte opatření z analýzy a implementujte je do procesů ISMS (Systém řízení bezpečnosti informací) a provozní dokumentace.
  • Aktualizujte PoA (prohlášení o aplikovatelnosti) a s ohledem na nová opatření proveďte interní audit a přezkoumání managementu.
  • Využijte mimořádný audit od Bureau Veritas. Zjistíte, co vám k přechodu chybí a jak ho úspěšně zvládnout.

SHRNUTÍ

Změny v normě ISO/IEC 27001: 2022 musely dříve či později nastat s ohledem na technologie, globalizaci a současné potřeby uživatelů a zúčastněných stran. Změny obecně nejsou nijak velkého rozsahu, dotýkají se hlavně způsobu pravidelných kontrol ve společnostech a pomohou zlepšit nastavené procesy i ISMS.

Můžeme však očekávat, že do jisté míry ovlivní dokumentaci, kterou společnost má, a minimálně implementaci.

Kdo je připraven, není překvapen. Chcete-li hladký přechod na novou normu, využijte školení interního auditora, kde vás detailně seznámíme se všemi změnami a požadavky nové normy.

Potřebujete-li více informací o aplikaci změn či výkladu normy, nezávazně nás kontaktujte, naši techničtí specialisté jsou vám k dispozici.