W końcu doczekaliśmy się publikacji nowej wersji normy ISO/IEC 27001 Zarządzanie Bezpieczeństwem Informacji. Niemniej jednak, nie oznacza to, że wszystkie organizacje muszą natychmiast zmieniać swoje systemy zarządzania. Przejście na nową normę ISO/IEC 27001:2022 będzie przebiegało zgodnie z okresem przejściowym, który trwa około 3 lat, podobnie jak w przypadku innych zaktualizowanych norm.
W tym czasie organizacje nadal będą mogły ubiegać się o certyfikację na zgodność z normą z 2013 roku. Jednak w końcu i one będą musiały przejść na nową wersję z 2022 roku. Procesem przejścia zarządza Jednostka Akredytująca (UKAS).
Przed przystąpieniem do procesu przejścia, jednostki certyfikujące muszą zostać poddane ocenie zgodności z normą ISO/IEC 27001:2022, która powinna zostać zakończona do października 2023 r. ISOQAR planuje przeprowadzenie takiej oceny w kwietniu 2023 r.
Nowe certyfikacje ISO/IEC 27001:2013 mogą być realizowane maksymalnie do kwietnia 2024 r. Wszyscy klienci muszą przejść na nową wersję normy najpóźniej do sierpnia 2025 r. Przejście na nową wersję normy może wiązać się z dodatkowymi dniami audytowymi.
Poniżej przedstawiono wstępny harmonogram zmian:
Wymagane działania | Wstępny harmonogram |
Alcumus-ISOQAR zostanie oceniony przez UKAS pod kątem zdolności do przeprowadzania audytów zgodnie z ISO/IEC 27001:2022. | Planowana data oceny kwiecień 2023 (jednak nie później niż do października 2023). |
Alcumus-ISOQAR będzie mógł przeprowadzać audyty na zgodność z ISO/IEC 27001:2022. | Data docelowa to październik 2023, jednak jest prawdopodobne, że uda się zakończyć proces wcześniej. |
Zaprzestanie nowych certyfikacji na ISO 27001:2013. | Data docelowa kwiecień 2024. |
Zaprzestanie nowych audytów (etapu 1 i 2) na ISO 27001:2013. | Data docelowa październik 2025. |
Wszyscy klienci Alcumus-ISOQAR zostaną przeniesieni na ISO 27001:2022. | Data docelowa kwiecień 2025. |
Wszystkie przejścia do wykonania. | Data docelowa sierpień 2025. |
Alcumus-ISOQAR zaprzestaje certyfikacji ISO 27001:2013. | Nie później niż w październiku 2025. |
Pierwszą czynnością jest dokonanie analizy różnic między standardem z 2013 roku a standardem z 2022 roku. W tym celu stworzyliśmy szczegółowe porównanie, które obejmuje skrócony opis głównych zmian. Istnieje również możliwość skorzystania z innych źródeł, takich jak:
Dokumenty wymagające aktualizacji to m.in.: Polityki, Procedury operacyjne, Deklaracja stosowania, Oceny ryzyka, Rejestry aktywów, Oświadczenia o zakresie, wewnętrznych szkoleniach i świadomości.
Zgodnie z obowiązującymi nas wytycznymi, jeżeli przejście na nową wersję normy ISO/IEC 27001:2022 będzie przeprowadzane jako audyt specjalny lub podczas audytu nadzoru, czas audytu musi zostać zwiększony (a co za tym idzie, również koszt audytu).
Jeśli jednak przejście na nową wersję normy będzie przeprowadzane w ramach audytu recertyfikacyjnego, czas dodatkowego audytu nie musi być uwzględniony. Jest to korzystna opcja dla organizacji, które chcą przejść na nową wersję normy podczas ponownej recertyfikacji.
Główne zmiany w ISO/IEC 27001:2022 dotyczą załącznika A.
Termin „cele stosowania zabezpieczeń” zniknął i teraz zamiast niego używa się „kontrole bezpieczeństwa informacji”.
Liczba „kontroli” zmieniła się ze 114 kontroli w 14 punktach do 93 kontroli w 4 punktach. Wprowadzono 11 nowych kontroli, 24 stare kontrole zostały połączone, a większość rozszerzona i uzupełniona.
Kontrole zostały pogrupowane w 4 grupy kontroli:
„Nowymi” kontrolami są;
Zmiany w treści punktów od 4 do 10 nie są poważne, ale obejmują;
Nowe wydanie normy ISO/IEC 27001:2022 wprowadza znacznie więcej zmian, których nie byliśmy w stanie opisać w tym krótkim artykule. Jeśli zatem chcesz dowiedzieć się jakie są najważniejsze zmiany, jak je zaimplementować i jak dostosować swój system zarządzania bezpieczeństwem informacji do ISO/IEC 27001:2022 skorzystaj z naszej oferty szkoleń lub skontaktuj się naszym działem certyfikacji.