Dlaczego norma ISO/IEC 27001:2013 została zaktualizowana do wersji ISO/IEC 27001:2022?
Norma ISO/IEC 27001 zapewnia firmom ramy cyberbezpieczeństwa do zarządzania ryzykiem i ochrony przed zagrożeniami. Zgodność z tymi ramami pomaga zabezpieczyć zasoby informacyjne, takie jak informacje finansowe, dane osobowe i własność intelektualna. Obejmuje to informacje związane z działalnością organizacji i jej pracownikami, a także klientami i dostawcami.
Cyberbezpieczeństwo powinno być teraz na szczycie listy priorytetów każdej firmy. Incydenty cybernetyczne, takie jak naruszenia danych i oprogramowanie ransomware, regularnie trafiają na pierwsze strony gazet. Sytuację pogarszają globalne napięcia polityczne. Ponadto większość przedsiębiorstw korzysta obecnie z infrastruktury opartej na chmurze, a w wielu krajach około jedna trzecia pracowników pracuje zdalnie, przynajmniej przez część czasu. W wyniku tych zmian organizacje są zobowiązane do ponownej oceny ryzyka i środków zaradczych w ustrukturyzowany sposób, w kontekście ich SZBI. Ponieważ norma ISO/IEC 27001:2013 została opublikowana w 2013 r., aktualizacje normy ISO/IEC 27001:2022 były konieczne, aby pomóc w uwzględnieniu wyżej wymienionych zmian.
| Załącznik A | ISO/IEC 27001:2013 | ISO/IEC 27001:2022 |
|---|---|---|
| Elementy sterujące | 114 | 93 |
| Kategorie kontroli | 13 | 4 |
|
Tytuł normy ISO/IEC 27001:2022 został zaktualizowany, aby odzwierciedlić zwiększony nacisk na cyberbezpieczeństwo i ochronę prywatności. Nowa wersja odzwierciedla również zmiany w miejscu pracy i krajobrazie zagrożeń, w tym te, które powstały w wyniku zwiększonej pracy zdalnej i korzystania z pamięci masowej w chmurze. Ponadto wprowadzono pięć wartości atrybutów, które można przypisać do każdej kontroli z załącznika A, umożliwiając ich sortowanie według wyznaczonych atrybutów. Ma to na celu umożliwienie dostosowania i interoperacyjności ISO/IEC 27001:2022 z innymi najlepszymi praktykami w zakresie cyberbezpieczeństwa, takimi jak publikacje NIST.
Ponadto norma ISO/IEC 27001:2022 obejmuje również niewielkie dostosowanie do struktury wysokiego poziomu ISO, do której odwołują się inne normy dotyczące systemów zarządzania, takie jak ISO 9001:2015 i ISO 22301:2019. Zmiany te mają jednak na celu doprecyzowanie istniejących wymagań, a nie dodanie nowych.
Norma ISO/IEC 27001:2022 została wydana w październiku 2022 roku. Okres przejściowy wynosi trzy lata. Aby utrzymać certyfikację, wszystkie certyfikaty ISO/IEC 27001:2013 muszą zostać przeniesione na ISO/IEC 27001:2022 przed 1 listopada 2025 roku. Audyt przejścia może być przeprowadzony podczas zaplanowanych audytów w trakcie trzyletniego okresu przejściowego lub może być przeprowadzony jako dodatkowy audyt specjalny.
Transformacja powinna rozpocząć się wcześniej niż później, aby zapewnić jej zakończenie w ciągu 3-letniego okresu przejściowego. Umożliwi to odpowiednie przygotowanie do włączenia niezbędnych zmian do SZBI.
Powyższe stwierdzenia muszą uwzględniać dwa kamienie milowe przejścia, które zostały wyszczególnione poniżej:
1 maja 2024 r. - po tej dacie wszystkie nowe certyfikacje i audyty recertyfikacyjne muszą być zgodne z normą ISO/IEC 27001:2022
Koniec października 2025 r. - kończy się okres przejściowy, po którym certyfikaty ISO/IEC 27001:2013 nie będą już ważne.
- Przejście na ISO/IEC 27001:2022 zakończone podczas audytów nadzoru lub audytów specjalnych będą wymagały dodatkowego jednego dnia audytu i utrzymają istniejącą datę ważności certyfikatów.
- Przejście na ISO/IEC 27001:2022 zakończone podczas audytów recertyfikacyjnych będą wymagały dodatkowego pół dnia audytu i spowodują odnowienie certyfikatów na kolejny trzyletni okres.
- Dodatkowy czas audytu w celu oceny przejścia na ISO/IEC 27001:2022 został określony w dokumencie International Accreditation (IAF) Forum MD 26:2022 Transition Requirements for ISO/IEC 27001:2022. W związku z tym wymagania te mają zastosowanie do wszystkich jednostek certyfikujących akredytowanych przez IAF.
Jak możemy pomóc
Możemy wesprzeć przejście na ISO/IEC 27001:2022 audytem początkowym lub przejściowym:
- Zaoferować szkolenie ISO/IEC 27001:2022, zapewniające przegląd kluczowych zmian i procesu przejścia.
- Przeprowadzić ocenę luk w celu wskazania, w jakim stopniu SZBI spełnia wymagania normy ISO/IEC 27001:2022.
- Przeprowadzić audyty ISO/IEC 27001:2022 w celu przejścia certyfikacji na nową wersję normy.
Poznaj ISO/IEC 27001:2022. Dołącz do naszego webinarium na żądanie, aby dowiedzieć się więcej
Chcesz dowiedzieć się więcej o przejściu na ISO/IEC 27001:2022 lub certyfikacji? Weź udział w naszym webinarium na żądanie, aby dowiedzieć się więcej o krokach wymaganych do uzyskania certyfikatu ISO/IEC 27001:2022.
