Zgodnie z zapowiedziami, w październiku ukazała się nowa wersja normy ISO/IEC 27001 oraz wytycznych ISO/IEC 27002. Norma ta, by utrzymać swoją renomę globalnego wyznacznika zarządzania bezpieczeństwem informacji musi być dostosowywana do dynamicznego krajobrazu środowiska informatycznego.
Niezmiennie, certyfikacja ISO/IEC 27001 pozostaje drzwiami do współpracy z wieloma kontrahentami. Akredytowany certyfikat daje gwarancje kontrahentowi, że organizacja wdrożyła oraz nadzoruje system, który zapewnia bezpieczeństwo przetwarzanych informacji.
Nowe wydanie ISO 27001:2022 nie różni się diametralnie od ISO 27001:2013, ale jest kilka znaczących zmian, na które warto zwrócić uwagę:
Kontekst i zakres
Musisz teraz zidentyfikować „istotne” wymagania zainteresowanych stron i określić, które zostaną zrealizowane za pomocą Systemu Zarządzania Bezpieczeństwem Informacji
SZBI teraz wyraźnie obejmuje „Istotne procesy i ich interakcje”.
Planowanie
Cele bezpieczeństwa informacji muszą być teraz monitorowane i udostępniane jako „udokumentowane informacje”.
Pojawiła się nowa sekcja dotycząca planowania zmian w SZBI. Nie określa to żadnych procesów, które muszą być uwzględnione, więc każda organizacja powinna samodzielnie określić, w jaki sposób może wykazać, że zmiany w zakresie SZBI zostały rzeczywiście zaplanowane.
Wsparcie
Wymogi dotyczące określenia, kto powinien się komunikować oraz procesy, w ramach których komunikowanie powinno się odbywać, zostały zastąpione wymogiem określenia „jak się komunikować”.
Działania operacyjne
Wymóg planowania sposobu realizacji celów bezpieczeństwa informacji został zastąpiony wymogiem ustalenia kryteriów dla procesów realizacji działań określonych w pkt. 6 oraz kontroli tych procesów zgodnie z kryteriami.
Organizacje są teraz zobowiązane do kontrolowania „zewnętrznie dostarczanych procesów, produktów lub usług” istotnych dla SZBI, a nie tylko procesów.
Wyniki i ocena
Metody monitorowania, pomiaru, analizy i oceny skuteczności SZBI muszą być teraz porównywalne i powtarzalne.
Przegląd zarządzania musi teraz uwzględniać zmiany w potrzebach i oczekiwaniach zainteresowanych stron.
Annex A
Załącznik A został zmieniony w celu dostosowania go do normy ISO 27002:2022.
Po pierwsze, fraza „kodeks praktyk” została usunięta z tytułu zaktualizowanej normy ISO/IEC 27002. Taka forma lepiej odzwierciedla cel tego referencyjnego zestawu kontroli bezpieczeństwa informacji.
Sam dokument, pomimo zredukowania liczby mechanizmów kontrolnych z 114 do 93, jest dłuższy niż poprzednia wersja. Mechanizmy kontroli zostały uporządkowane i zaktualizowane. Niektóre zostały połączone lub usunięte, 11 kontroli zostało dodanych, ukazując, że dokument rozwija się wraz ze zmieniającą się technologią.
Zanim jednostki certyfikujące zaczną certyfikować normę ISO/IEC 27001:2022 upłynie co najmniej 6 miesięcy, natomiast norma ISO/IEC 27001:2013 nie zostanie wycofana przez nadchodzące 3 lata. Dlatego organizacje nie muszą się martwić, że jakakolwiek praca, którą wykonali przy wdrożeniu SZBI poszła na marne.
Jednakże, w zależności od stopnia zaawansowania wdrożenia ISO/IEC 27001:2013, organizacje mogą postanowić używać nowych mechanizmów kontroli z Załącznika A z ISO/IEC 27001:2022 jako alternatywnego zestawu kontroli.
Certyfikowane organizacje mają trzyletni okres przejściowy na dostosowanie swojego systemu zarządzania do nowej wersji ISO/IEC 27001, więc mają dużo czasu na wprowadzenie niezbędnych zmian. Nie jest jednak wskazane pozostawienie tego na ostatnią chwilę. Jeżeli w Twojej organizacji planowana jest recertyfikacja we wspomnianym okresie przejściowym, warto już teraz rozpocząć pracę zgodnie z nowym zestawem kontrolnym.
Jedną z zalet wdrożenia nowych mechanizmów kontrolnych jest to, że identyfikuje się je na podstawie atrybutów. Można więc skoncentrować się na wyborze tych mechanizmów, zmniejszając presję związaną z zapewnianiem zgodności. Może to pomóc lepiej zintegrować procesy bezpieczeństwa, ułatwiając zarządzanie systemem zarządzania bezpieczeństwem informacji.
Certyfikacja zgodnie z nową wersją standardu będzie czekała każdą organizację, która chce dostarczać swoim partnerom gwarancji, że zarządza informacjami oraz ich bezpieczeństwem w sposób kontrolowany, zgodny z najnowszymi mechanizmami bezpieczeństwa. Akredytowany certyfikat ISO/IEC 27001 stanowi potwierdzenie, że firma dąży do systematycznego realizowania swoich celów oraz potrzeb swoich klientów, przez co umacnia się jej pozycja rynkowa oraz renoma w branży. Przystosowanie i certyfikowanie systemu zgodnie z nową normą, pomoże Twojej organizacji spełnić wymagania prawne, ustawowe i regulacyjne w zakresie bezpieczeństwa informacji.
Jeżeli chcą Państwo dowiedzieć się więcej na temat zmian wprowadzonych w najnowszym wydaniu normy ISO/IEC 27001:2022 oraz przygotować się do aktualizacji systemu zarządzania bezpieczeństwem informacji zachęcamy do skorzystania z naszej oferty szkoleń.