Aktualizacja normy ISO/IEC 27001 i ISO/IEC 27002

Nowość w bezpieczeństwie informacji - Aktualizacja norm ISO/IEC 27001 i ISO/IEC 27002

ISO/IEC 27001:2022 i ISO/IEC 27002:2022 oraz ich wpływ na Twoją organizację.

 

Zgodnie z zapowiedziami, w październiku ukazała się nowa wersja normy ISO/IEC 27001 oraz wytycznych ISO/IEC 27002.  Norma ta, by utrzymać swoją renomę globalnego wyznacznika zarządzania bezpieczeństwem informacji musi być dostosowywana do dynamicznego krajobrazu środowiska informatycznego.

 

Niezmiennie, certyfikacja ISO/IEC 27001 pozostaje drzwiami do współpracy z wieloma kontrahentami. Akredytowany certyfikat daje gwarancje kontrahentowi, że organizacja wdrożyła oraz nadzoruje system, który zapewnia bezpieczeństwo przetwarzanych informacji.

 

Co się zmienia w ISO/IEC 27001?

 

Nowe wydanie ISO 27001:2022 nie różni się diametralnie od ISO 27001:2013, ale jest kilka znaczących zmian, na które warto zwrócić uwagę:

 

Kontekst i zakres

Musisz teraz zidentyfikować „istotne” wymagania zainteresowanych stron i określić, które zostaną zrealizowane za pomocą Systemu Zarządzania Bezpieczeństwem Informacji

 

SZBI teraz wyraźnie obejmuje „Istotne procesy i ich interakcje”.

 

Planowanie

Cele bezpieczeństwa informacji muszą być teraz monitorowane i udostępniane jako „udokumentowane informacje”.

 

Pojawiła się nowa sekcja dotycząca planowania zmian w SZBI. Nie określa to żadnych procesów, które muszą być uwzględnione, więc każda organizacja powinna samodzielnie określić, w jaki sposób może wykazać, że zmiany w zakresie SZBI zostały rzeczywiście zaplanowane.

 

Wsparcie

Wymogi dotyczące określenia, kto powinien się komunikować oraz procesy, w ramach których komunikowanie powinno się odbywać, zostały zastąpione wymogiem określenia „jak się komunikować”.

 

Działania operacyjne

Wymóg planowania sposobu realizacji celów bezpieczeństwa informacji został zastąpiony wymogiem ustalenia kryteriów dla procesów realizacji działań określonych w pkt. 6 oraz kontroli tych procesów zgodnie z kryteriami.

 

Organizacje są teraz zobowiązane do kontrolowania „zewnętrznie dostarczanych procesów, produktów lub usług” istotnych dla SZBI, a nie tylko procesów.

 

Wyniki i ocena

Metody monitorowania, pomiaru, analizy i oceny skuteczności SZBI muszą być teraz porównywalne i powtarzalne.

 

Przegląd zarządzania musi teraz uwzględniać zmiany w potrzebach i oczekiwaniach zainteresowanych stron.

 

Annex A

Załącznik A został zmieniony w celu dostosowania go do normy ISO 27002:2022.

 

Co się zmienia w ISO/IEC 27002?

 

Po pierwsze, fraza „kodeks praktyk” została usunięta z tytułu zaktualizowanej normy ISO/IEC 27002. Taka forma lepiej odzwierciedla cel tego referencyjnego zestawu kontroli bezpieczeństwa informacji.

 

Sam dokument, pomimo zredukowania liczby mechanizmów kontrolnych z 114 do 93,  jest dłuższy niż poprzednia wersja. Mechanizmy kontroli zostały uporządkowane i zaktualizowane. Niektóre zostały połączone lub usunięte, 11 kontroli zostało dodanych, ukazując, że dokument rozwija się wraz ze zmieniającą się technologią.

 

Jak aktualizacja normy ISO/IEC 27001 wpłynie na organizacje wdrażające SZBI?

 

Zanim jednostki certyfikujące zaczną certyfikować normę ISO/IEC 27001:2022 upłynie co najmniej 6 miesięcy,  natomiast norma ISO/IEC 27001:2013 nie zostanie wycofana przez nadchodzące 3 lata. Dlatego organizacje nie muszą się martwić, że jakakolwiek praca, którą wykonali przy wdrożeniu SZBI poszła na marne.

 

Jednakże, w zależności od stopnia zaawansowania wdrożenia ISO/IEC 27001:2013, organizacje mogą postanowić używać nowych mechanizmów kontroli z Załącznika A z ISO/IEC 27001:2022 jako alternatywnego zestawu kontroli.

 

Jak aktualizacja normy ISO/IEC 27001 wpłynie na organizacje posiadające już certyfikat ISO 27001:2013?

 

Certyfikowane organizacje mają trzyletni okres przejściowy na dostosowanie swojego systemu zarządzania do nowej wersji ISO/IEC 27001, więc mają dużo czasu na wprowadzenie niezbędnych zmian. Nie jest jednak wskazane pozostawienie tego na ostatnią chwilę. Jeżeli w Twojej organizacji planowana jest recertyfikacja we wspomnianym okresie przejściowym, warto już teraz rozpocząć pracę zgodnie z nowym zestawem kontrolnym.

 

Jedną z zalet wdrożenia nowych mechanizmów kontrolnych jest to, że identyfikuje się je na podstawie atrybutów. Można więc skoncentrować się na wyborze tych mechanizmów, zmniejszając presję związaną z zapewnianiem zgodności. Może to pomóc lepiej zintegrować procesy bezpieczeństwa, ułatwiając zarządzanie systemem zarządzania bezpieczeństwem informacji.

 

Jakie zalety niesie za sobą certyfikacja ISO/IEC 27001:2022

 

Certyfikacja zgodnie z nową wersją standardu będzie czekała każdą organizację, która chce dostarczać swoim partnerom gwarancji, że zarządza informacjami oraz ich bezpieczeństwem w sposób kontrolowany, zgodny z najnowszymi mechanizmami bezpieczeństwa. Akredytowany certyfikat ISO/IEC 27001  stanowi potwierdzenie, że firma dąży do systematycznego realizowania swoich celów oraz potrzeb swoich klientów, przez co umacnia się jej pozycja rynkowa oraz renoma w branży. Przystosowanie i certyfikowanie systemu zgodnie z nową normą, pomoże Twojej organizacji spełnić wymagania prawne, ustawowe i regulacyjne w zakresie bezpieczeństwa informacji.

 

Szkolenia ze zmian w ISO/IEC 27001:2022

 

Jeżeli chcą Państwo dowiedzieć się więcej na temat zmian wprowadzonych w najnowszym wydaniu normy ISO/IEC 27001:2022 oraz przygotować się do aktualizacji systemu zarządzania bezpieczeństwem informacji zachęcamy do skorzystania z naszej oferty szkoleń.

Skontaktuj się z nami

Wyrażam zgodę na przetwarzanie moich danych osobowych zgodnie z polityką prywatności.

Polityka prywatności