Jak przygotować się do zmian w normie ISO/IEC 27001:2022

Jak przygotować się do zmian w normie ISO/IEC 27001:2022

Bezpieczeństwo informacji na nowym poziomie: Co nowego w normie ISO/IEC 27001:2022

 

W końcu doczekaliśmy się publikacji nowej wersji normy ISO/IEC 27001 Zarządzanie Bezpieczeństwem Informacji. Niemniej jednak, nie oznacza to, że wszystkie organizacje muszą natychmiast zmieniać swoje systemy zarządzania. Przejście na nową normę ISO/IEC 27001:2022 będzie przebiegało zgodnie z okresem przejściowym, który trwa około 3 lat, podobnie jak w przypadku innych zaktualizowanych norm.

 

W tym czasie organizacje nadal będą mogły ubiegać się o certyfikację na zgodność z normą z 2013 roku. Jednak w końcu i one będą musiały przejść na nową wersję z 2022 roku. Procesem przejścia zarządza Jednostka Akredytująca (UKAS).

 

Przed przystąpieniem do procesu przejścia, jednostki certyfikujące muszą zostać poddane ocenie zgodności z normą ISO/IEC 27001:2022, która powinna zostać zakończona do października 2023 r. ISOQAR planuje przeprowadzenie takiej oceny w kwietniu 2023 r.

 

Nowe certyfikacje ISO/IEC 27001:2013 mogą być realizowane maksymalnie do kwietnia 2024 r. Wszyscy klienci muszą przejść na nową wersję normy najpóźniej do sierpnia 2025 r. Przejście na nową wersję normy może wiązać się z dodatkowymi dniami audytowymi.

 

Poniżej przedstawiono wstępny harmonogram zmian:

 

Wymagane działania

Wstępny harmonogram

Alcumus-ISOQAR zostanie oceniony przez UKAS pod kątem zdolności do przeprowadzania audytów zgodnie z ISO/IEC 27001:2022.

Planowana data oceny kwiecień 2023 (jednak nie później niż do października 2023).

Alcumus-ISOQAR będzie mógł przeprowadzać audyty na zgodność z ISO/IEC 27001:2022.

Data docelowa to październik 2023, jednak jest prawdopodobne, że uda się zakończyć proces wcześniej.

Zaprzestanie nowych certyfikacji na ISO 27001:2013.

Data docelowa kwiecień 2024.

Zaprzestanie nowych audytów (etapu 1 i 2) na ISO 27001:2013.

Data docelowa październik 2025.

Wszyscy klienci Alcumus-ISOQAR zostaną przeniesieni na ISO 27001:2022.

Data docelowa kwiecień 2025.

Wszystkie przejścia do wykonania.

Data docelowa sierpień 2025.

Alcumus-ISOQAR zaprzestaje certyfikacji ISO 27001:2013.

Nie później niż w październiku 2025.

 

Co powinny zrobić organizacje?

 

Pierwszą czynnością jest dokonanie analizy różnic między standardem z 2013 roku a standardem z 2022 roku. W tym celu stworzyliśmy szczegółowe porównanie, które obejmuje skrócony opis głównych zmian. Istnieje również możliwość skorzystania z innych źródeł, takich jak:

 

  • Porozmawiaj z biurem ISOQAR, naszym działem szkoleniowym lub ze swoim konsultantem /  pełnomocnikiem do spraw bezpieczeństwa informacji.
  • Skorzystaj z naszej oferty szkoleń dotyczących zmian w nowym wydaniu ISO/IEC 27001:2022.
  • Omów zmiany z personelem i kierownictwem.
  • Wykorzystaj naszą analizę luk, która dostępna jest na życzenie.

 

Dokumenty wymagające aktualizacji to m.in.: Polityki, Procedury operacyjne, Deklaracja stosowania, Oceny ryzyka, Rejestry aktywów, Oświadczenia o zakresie, wewnętrznych szkoleniach i świadomości.

 

Jaki będzie koszt przejścia na ISO/IEC 27001:2022?

 

Zgodnie z obowiązującymi nas wytycznymi, jeżeli przejście na nową wersję normy ISO/IEC 27001:2022 będzie przeprowadzane jako audyt specjalny lub podczas audytu nadzoru, czas audytu musi zostać zwiększony (a co za tym idzie, również koszt audytu).

 

Jeśli jednak przejście na nową wersję normy będzie przeprowadzane w ramach audytu recertyfikacyjnego, czas dodatkowego audytu nie musi być uwzględniony. Jest to korzystna opcja dla organizacji, które chcą przejść na nową wersję normy podczas ponownej recertyfikacji.

 

Co się zmieniło w ISO/IEC 27001:2022?

 

Główne zmiany w ISO/IEC 27001:2022 dotyczą załącznika A.

 

Termin „cele stosowania zabezpieczeń” zniknął i teraz zamiast niego używa się „kontrole bezpieczeństwa informacji”.

 

Liczba „kontroli” zmieniła się ze 114 kontroli w 14 punktach do 93 kontroli w 4 punktach. Wprowadzono 11 nowych kontroli, 24 stare kontrole zostały połączone, a większość rozszerzona i uzupełniona.

 

Kontrole zostały pogrupowane w 4 grupy kontroli:

 

  • kontrole organizacyjne – 37 kontroli
  • kontrole ludzi (personelu) – 8 kontroli
  • kontrole fizyczne– 14 kontroli
  • kontrole technologiczne – 34 kontrole

 

„Nowymi” kontrolami są;

 

  • Analiza zagrożeń — A.5.7 — Organizacje będą musiały aktywnie pracować nad identyfikacją zagrożeń. Będzie to powiązane z oceną ryzyka, kontekstem oraz identyfikacją zagrożeń i szans.
  • Bezpieczeństwo informacji przy korzystaniu z usług w chmurze — A.5.23 — Od 2013 roku obserwujemy znaczny wzrost popularności usług w chmurze, dlatego dodanie tego elementu jest bardzo aktualne i istotne.
  • Gotowość teleinformatyczna do zapewnienia ciągłości działania – A.5.30 – Chociaż jest to podobne do poprzednich kontroli ciągłości działania, obecnie duży nacisk kładzie się na ICT.
  • Monitorowanie bezpieczeństwa fizycznego – A.7.4 – Bezpieczeństwo fizyczne musi być teraz stale monitorowane.
  • Zarządzanie konfiguracją – A.8.9 – Konfiguracja wymaga teraz zarządzania i rejestrowania.
  • Usuwanie informacji – A.8.10 – Związane z nowymi regulacjami i przepisami, takimi jak RODO i DPA 2018.
  • Maskowanie danych – A.8.11 – Ponownie RODO i DPA 2018 doprowadziły do stosowania pseudonimizacji i anonimizacji.
  • Zapobieganie wyciekom danych – A.8.12 – należy stosować środki zapobiegające wyciekom danych.
  • Działania monitoringowe – A.8.16 – większy nacisk na monitorowanie systemów, sieci pod kątem nietypowych zachowań.
  • Filtrowanie stron internetowych – A.8.23 – wraz ze wzrostem liczby stron internetowych wzrosła potrzeba kontroli przed złośliwym oprogramowaniem.
  • Bezpieczne kodowanie – A.8.28 – Chociaż jest powiązane z poprzednimi kontrolami rozwoju, to wzmacnia się je, zwłaszcza dostęp do odczytu i zapisu oraz biblioteki itp.

 

Zmiany w treści punktów od 4 do 10 nie są poważne, ale obejmują;

 

  • 6.1.3 zmienia terminy użyte w Załączniku A.
  • 6.2 stwierdza, że cele muszą być monitorowane.
  • 6.3 stwierdza, że zarządzanie zmianą to nowy wymóg.
  • 7.4 stwierdza, że organizacje muszą określić sposób komunikowania się.
  • 9.3 przegląd zarządzania musi uwzględniać zmiany w potrzebach i oczekiwaniach zainteresowanych stron.

 

Nowe wydanie normy ISO/IEC 27001:2022 wprowadza znacznie więcej zmian, których nie byliśmy w stanie opisać w tym krótkim artykule. Jeśli zatem chcesz dowiedzieć się jakie są najważniejsze zmiany, jak je zaimplementować i jak dostosować swój system zarządzania bezpieczeństwem informacji do ISO/IEC 27001:2022 skorzystaj z naszej oferty szkoleń lub skontaktuj się naszym działem certyfikacji.

Skontaktuj się z nami

Zgodnie z art. 13 ust. 1 i ust. 2 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (dalej RODO) informujemy, iż Administratorem Państwa danych osobowych jest ISOQAR CEE sp. z o.o  z siedzibą w Warszawie,  adres: ul.   Wąwozowa 11,  02-796 Warszawa.  Państwa dane osobowe przetwarzane będą w celach kontaktowych niezbędnych do realizacji usługi, zgodnie z obowiązującymi przepisami prawa na podstawie art. 6 ust. 1 lit. f RODO.

Wyrażam zgodę na przetwarzanie moich danych osobowych przez ISOQAR CEE sp. z o.o jako administratora danych osobowych, w celach otrzymywania informacji handlowych i marketingowych wysyłanych na podany adres e-mail na podstawie art. 6 ust. 1 lit. a RODO. Więcej informacji w Polityką prywatności

Polityka prywatności

Dochowujemy najwyższej staranności w zakresie ochrony i bezpieczeństwa przekazanych nam informacji poufnych oraz powierzonych  danych osobowych. W tym celu minimalizujemy wszelkie dostrzeżone ryzyka, które mogłyby prowadzić do naruszenia bezpieczeństwa pozyskanych lub przetwarzanych informacji lub danych.

Stosownie do treści  postanowień art. 13 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych „RODO” art. 13), informujemy, że:

  1. Administratorem Pani/Pana danych osobowych jest  ISOQAR CEE  sp. z o.o. w Warszawie, adres:  ul. Wąwozowa 11, 02-796 Warszawa.
  2. Kontakt z administratorem danych osobowych możliwy jest pod adresem e-mail: isoqar@isoqar.pl
  3. Pani/Pana dane osobowe przetwarzane na podstawie udzielonej przez Panią/Pana zgody, w oparciu o treść  art. 6 ust. 1 lit. b-f   RODO lub na podstawie Umowy powierzenia przetwarzania danych.
  4. Pani/Pana dane osobowe, stosownie do treści zgody i podstawy przetwarzania,  mogą być wykorzystane  w celu udzielenia  informacji handlowych, marketingowych oraz w celu  wykonania  zawartych przez Administratora umów o współpracy, w zakresie niezbędnym do ich prawidłowej realizacji.   
  5. Odbiorcą Pana/Pani danych osobowych mogą być podmioty działające na zlecenie Administratora w zakresie i w celach, które wynikają z przepisów powszechnie obowiązującego prawa i  zawartych przez Administratora  umów.
  6. Pana/Pani dane osobowe przechowywane będą przez okres niezbędny do realizacji celów określonych w pkt 4, a po tym czasie, tylko  w zakresie i przez okres,  wymagany przez przepisy powszechnie obowiązującego prawa.
  7. Posiada Pani/Pan prawo do:
    • żądania od Administratora dostępu do danych osobowych,
    • sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych,
    • wniesienia sprzeciwu wobec przetwarzania,
    • przeniesienia danych,
    • cofnięcia zgody na przetwarzanie danych osobowych.
  8. W przypadku powzięcia informacji o niezgodnym z prawem przetwarzaniu Pani/Pana danych osobowych, przysługuje Pani/Panu prawo wniesienia skargi do organu nadzorczego.
  9. Pani/Pana dane będą przetwarzane w sposób zautomatyzowany w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie odbywało się na zasadach określonych w regulaminie (opcje: subskrypcji, itp.) a konsekwencją takiego przetwarzania będzie otrzymywanie wyselekcjonowanej informacji marketingowej.
  10. Podanie przez Pana/Panią danych osobowych jest dobrowolne, jednakże niepodanie danych może skutkować niemożliwością uczestnictwa w  wybranych kategoriach kontaktu ( subskrypcji newslettera, otrzymywaniu ofert marketingowych, udziału w ankietach).
  11. Podanie przez Panią/Pana dobrowolnie danych osobowych w formularzu kontaktu, wiadomości elektronicznej, innego rodzaju  oświadczeniu, jest równoważne ze złożeniem przez Pana/Panią  oświadczenia o następującej treści:  wyrażam zgodę na przetwarzanie moich danych osobowych w celu nawiązania kontaktu bezpośredniego, przekazania informacji handlowej, sporządzenia oferty, przesyłania newslettera, wzięcia udziału w ankiecie ( zależnie od żądanej przez Panią/Pana opcji). 

 

Regulamin plików cookies

 

  1. Pliki cookies (tzw. „ciasteczka") stanowią dane informatyczne, w szczególności pliki tekstowe, które przechowywane są w urządzeniu końcowym Użytkownika Serwisu i przeznaczone są do korzystania ze stron internetowych Serwisu. Cookies zazwyczaj zawierają nazwę strony internetowej, z której pochodzą, czas przechowywania ich na urządzeniu końcowym oraz unikalny numer.
  2. Podmiotem zamieszczającym na urządzeniu końcowym Użytkownika Serwisu pliki cookies oraz uzyskującym do nich dostęp jest operator Serwisu: http://www.isoqar.pl/
  3. Pliki cookies wykorzystywane są w celu:
    1. dostosowania zawartości stron internetowych Serwisu do preferencji Użytkownika oraz optymalizacji korzystania ze stron internetowych; w szczególności pliki te pozwalają rozpoznać urządzenie Użytkownika Serwisu i odpowiednio wyświetlić stronę internetową, dostosowaną do jego indywidualnych potrzeb;
    2. tworzenia statystyk, które pomagają zrozumieć, w jaki sposób Użytkownicy Serwisu korzystają ze stron internetowych, co umożliwia ulepszanie ich struktury i zawartości;
    3. utrzymanie sesji Użytkownika Serwisu (po zalogowaniu), dzięki której Użytkownik nie musi na każdej podstronie Serwisu ponownie wpisywać loginu i hasła;
    4. dostosowania treści reklamowych w formie graficznej (Reklamy displayowe) przy wykorzystaniu remarketingu Google Analytics
  4. W ramach Serwisu stosowane są dwa zasadnicze rodzaje plików cookies: „sesyjne" (session cookies) oraz „stałe" (persistent cookies). Cookies „sesyjne" są plikami tymczasowymi, które przechowywane są w urządzeniu końcowym Użytkownika do czasu wylogowania, opuszczenia strony internetowej lub wyłączenia oprogramowania (przeglądarki internetowej). „Stałe" pliki cookies przechowywane są w urządzeniu końcowym Użytkownika przez czas określony w parametrach plików cookies lub do czasu ich usunięcia przez Użytkownika.
  5. W ramach Serwisu stosowane są następujące rodzaje plików cookies:
    1. „niezbędne" pliki cookies, umożliwiające korzystanie z usług dostępnych w ramach Serwisu, np. uwierzytelniające pliki cookies wykorzystywane do usług wymagających uwierzytelniania w ramach Serwisu;
    2. pliki cookies służące do zapewnienia bezpieczeństwa, np. wykorzystywane do wykrywania nadużyć w zakresie uwierzytelniania w ramach Serwisu;
    3. „wydajnościowe" pliki cookies, umożliwiające zbieranie informacji o sposobie korzystania ze stron internetowych Serwisu;
    4. „funkcjonalne" pliki cookies, umożliwiające „zapamiętanie" wybranych przez Użytkownika ustawień i personalizację interfejsu Użytkownika, np. w zakresie wybranego języka lub regionu, z którego pochodzi Użytkownik, rozmiaru czcionki, wyglądu strony internetowej itp.;
    5. „reklamowe" pliki cookies, umożliwiające dostarczanie Użytkownikom treści reklamowych bardziej dostosowanych do ich zainteresowań.
    6. W wielu przypadkach oprogramowanie służące do przeglądania stron internetowych (przeglądarka internetowa) domyślnie dopuszcza przechowywanie plików cookies w urządzeniu końcowym Użytkownika. Użytkownicy Serwisu mogą dokonać w każdym czasie zmiany ustawień dotyczących plików cookies. Ustawienia te mogą zostać zmienione w szczególności w taki sposób, aby blokować automatyczną obsługę plików cookies w ustawieniach przeglądarki internetowej bądź informować o ich każdorazowym zamieszczeniu w urządzeniu Użytkownika Serwisu. Szczegółowe informacje o możliwości i sposobach obsługi plików cookies dostępne są w ustawieniach oprogramowania (przeglądarki internetowej). Użytkownicy mogą zablokować usługę Analytics dla reklam displayowych oraz dostosowywać reklamy w sieci reklamowej Google w Menedżerze preferencji reklam. Można również pobrać program blokujący Google Analytics ze strony https://tools.google.com/dlpage/gaoptout/
    7. Operator Serwisu informuje, że ograniczenia stosowania plików cookies mogą wpłynąć na niektóre funkcjonalności dostępne na stronach internetowych Serwisu.
    8. Pliki cookies zamieszczane w urządzeniu końcowym Użytkownika Serwisu i wykorzystywane mogą być również przez współpracujących z operatorem Serwisu reklamodawców oraz partnerów.
    9. Więcej informacji na temat plików cookies dostępnych jest pod adresem http://wszystkoociasteczkach.pl lub w sekcji „Pomoc" w menu przeglądarki internetowej.

Klauzula informacyjna w zakresie przetwarzania danych osobowych na potrzeby newsletter

W związku z obowiązywaniem od dnia 25 maja 2018 r. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119, str. 1), zwanego dalej „rozporządzeniem RODO”, informujemy, że:

  1. Administratorem Pani/Pana danych osobowych jest ISOQAR CEE sp. z o.o  z siedzibą w Warszawie,  adres: ul.   Wąwozowa 11,  02-796 Warszawa, NIP 9512091016, wpisana do Krajowego Rejestru Sądowego prowadzonego  przez Sąd Rejonowy w dla m.st. Warszawy, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000178492, 

  2. Administrator wyznaczył Inspektora Ochrony Danych Krzysztofa Radtke, z którym można się skontaktować drogą elektroniczną: iod@isoqar.pl

  3. Pani/Pana dane osobowe będą przetwarzane w celach wysyłki i otrzymywania newslettera.

  4. Przetwarzanie Pani/Pana danych osobowych odbywać się będzie na podstawie wyrażonej przez Panią/Pana zgody (podstawa prawna: art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE RODO

  5. Pani/Pana dane osobowe będą przetwarzane do czasu cofnięcia przez Panią/Pana zgody. 

  6. Odbiorcą Pani/Pana danych osobowych będą podmioty, którym Administrator zleca wykonywanie czynności, z którymi wiąże konieczność przetwarzania danych (podmioty przetwarzające) oraz podmioty publiczne na podstawie odrębnych przepisów prawa. 

  7. W związku z przetwarzaniem danych osobowych przysługuje Pani/Panu prawo dostępu do treści danych, ich sprostowania, usunięcia, ograniczenia ich przetwarzania oraz prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych. 

  8. Ma Pani/Pan prawo do cofnięcia zgody na przetwarzanie Pani/Pana danych w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.

  9. W przypadku uznania, że przetwarzanie przez Administratora Pani/Pana danych osobowych narusza przepisy Rozporządzenia ma Pani/Pan prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (PUODO). 

  10. Podanie przez Panią/Pana danych osobowych jest dobrowolne, jednak jest warunkiem wysyłki newslettera.

  11. Pani/Pana dane osobowe nie będą przetwarzane w sposób zautomatyzowany, nie będą poddawane profilowaniu.

  12. Pani/Pana dane osobowe mogą być przekazywane do państwa trzeciego (UK).