Jak przygotować się do zmian w normie ISO/IEC 27001:2022
Skontaktuj się z nami
Menu
PLENUA
Home/Baza wiedzy/Zarządzanie informacją/Jak przygotować się do zmian w normie ISO/IEC 27001:2022

Jak przygotować się do zmian w normie ISO/IEC 27001:2022

Bezpieczeństwo informacji na nowym poziomie: Co nowego w normie ISO/IEC 27001:2022

 

W końcu doczekaliśmy się publikacji nowej wersji normy ISO/IEC 27001 Zarządzanie Bezpieczeństwem Informacji. Niemniej jednak, nie oznacza to, że wszystkie organizacje muszą natychmiast zmieniać swoje systemy zarządzania. Przejście na nową normę ISO/IEC 27001:2022 będzie przebiegało zgodnie z okresem przejściowym, który trwa około 3 lat, podobnie jak w przypadku innych zaktualizowanych norm.

 

W tym czasie organizacje nadal będą mogły ubiegać się o certyfikację na zgodność z normą z 2013 roku. Jednak w końcu i one będą musiały przejść na nową wersję z 2022 roku. Procesem przejścia zarządza Jednostka Akredytująca (UKAS).

 

Przed przystąpieniem do procesu przejścia, jednostki certyfikujące muszą zostać poddane ocenie zgodności z normą ISO/IEC 27001:2022, która powinna zostać zakończona do października 2023 r. ISOQAR planuje przeprowadzenie takiej oceny w kwietniu 2023 r.

 

Nowe certyfikacje ISO/IEC 27001:2013 mogą być realizowane maksymalnie do kwietnia 2024 r. Wszyscy klienci muszą przejść na nową wersję normy najpóźniej do sierpnia 2025 r. Przejście na nową wersję normy może wiązać się z dodatkowymi dniami audytowymi.

 

Poniżej przedstawiono wstępny harmonogram zmian:

 

Wymagane działania

Wstępny harmonogram

Alcumus-ISOQAR zostanie oceniony przez UKAS pod kątem zdolności do przeprowadzania audytów zgodnie z ISO/IEC 27001:2022.

Planowana data oceny kwiecień 2023 (jednak nie później niż do października 2023).

Alcumus-ISOQAR będzie mógł przeprowadzać audyty na zgodność z ISO/IEC 27001:2022.

Data docelowa to październik 2023, jednak jest prawdopodobne, że uda się zakończyć proces wcześniej.

Zaprzestanie nowych certyfikacji na ISO 27001:2013.

Data docelowa kwiecień 2024.

Zaprzestanie nowych audytów (etapu 1 i 2) na ISO 27001:2013.

Data docelowa październik 2025.

Wszyscy klienci Alcumus-ISOQAR zostaną przeniesieni na ISO 27001:2022.

Data docelowa kwiecień 2025.

Wszystkie przejścia do wykonania.

Data docelowa sierpień 2025.

Alcumus-ISOQAR zaprzestaje certyfikacji ISO 27001:2013.

Nie później niż w październiku 2025.

 

Co powinny zrobić organizacje?

 

Pierwszą czynnością jest dokonanie analizy różnic między standardem z 2013 roku a standardem z 2022 roku. W tym celu stworzyliśmy szczegółowe porównanie, które obejmuje skrócony opis głównych zmian. Istnieje również możliwość skorzystania z innych źródeł, takich jak:

 

  • Porozmawiaj z biurem ISOQAR, naszym działem szkoleniowym lub ze swoim konsultantem /  pełnomocnikiem do spraw bezpieczeństwa informacji.
  • Skorzystaj z naszej oferty szkoleń dotyczących zmian w nowym wydaniu ISO/IEC 27001:2022.
  • Omów zmiany z personelem i kierownictwem.
  • Wykorzystaj naszą analizę luk, która dostępna jest na życzenie.

 

Dokumenty wymagające aktualizacji to m.in.: Polityki, Procedury operacyjne, Deklaracja stosowania, Oceny ryzyka, Rejestry aktywów, Oświadczenia o zakresie, wewnętrznych szkoleniach i świadomości.

 

Jaki będzie koszt przejścia na ISO/IEC 27001:2022?

 

Zgodnie z obowiązującymi nas wytycznymi, jeżeli przejście na nową wersję normy ISO/IEC 27001:2022 będzie przeprowadzane jako audyt specjalny lub podczas audytu nadzoru, czas audytu musi zostać zwiększony (a co za tym idzie, również koszt audytu).

 

Jeśli jednak przejście na nową wersję normy będzie przeprowadzane w ramach audytu recertyfikacyjnego, czas dodatkowego audytu nie musi być uwzględniony. Jest to korzystna opcja dla organizacji, które chcą przejść na nową wersję normy podczas ponownej recertyfikacji.

 

Co się zmieniło w ISO/IEC 27001:2022?

 

Główne zmiany w ISO/IEC 27001:2022 dotyczą załącznika A.

 

Termin „cele stosowania zabezpieczeń” zniknął i teraz zamiast niego używa się „kontrole bezpieczeństwa informacji”.

 

Liczba „kontroli” zmieniła się ze 114 kontroli w 14 punktach do 93 kontroli w 4 punktach. Wprowadzono 11 nowych kontroli, 24 stare kontrole zostały połączone, a większość rozszerzona i uzupełniona.

 

Kontrole zostały pogrupowane w 4 grupy kontroli:

 

  • kontrole organizacyjne – 37 kontroli
  • kontrole ludzi (personelu) – 8 kontroli
  • kontrole fizyczne– 14 kontroli
  • kontrole technologiczne – 34 kontrole

 

„Nowymi” kontrolami są;

 

  • Analiza zagrożeń — A.5.7 — Organizacje będą musiały aktywnie pracować nad identyfikacją zagrożeń. Będzie to powiązane z oceną ryzyka, kontekstem oraz identyfikacją zagrożeń i szans.
  • Bezpieczeństwo informacji przy korzystaniu z usług w chmurze — A.5.23 — Od 2013 roku obserwujemy znaczny wzrost popularności usług w chmurze, dlatego dodanie tego elementu jest bardzo aktualne i istotne.
  • Gotowość teleinformatyczna do zapewnienia ciągłości działania – A.5.30 – Chociaż jest to podobne do poprzednich kontroli ciągłości działania, obecnie duży nacisk kładzie się na ICT.
  • Monitorowanie bezpieczeństwa fizycznego – A.7.4 – Bezpieczeństwo fizyczne musi być teraz stale monitorowane.
  • Zarządzanie konfiguracją – A.8.9 – Konfiguracja wymaga teraz zarządzania i rejestrowania.
  • Usuwanie informacji – A.8.10 – Związane z nowymi regulacjami i przepisami, takimi jak RODO i DPA 2018.
  • Maskowanie danych – A.8.11 – Ponownie RODO i DPA 2018 doprowadziły do stosowania pseudonimizacji i anonimizacji.
  • Zapobieganie wyciekom danych – A.8.12 – należy stosować środki zapobiegające wyciekom danych.
  • Działania monitoringowe – A.8.16 – większy nacisk na monitorowanie systemów, sieci pod kątem nietypowych zachowań.
  • Filtrowanie stron internetowych – A.8.23 – wraz ze wzrostem liczby stron internetowych wzrosła potrzeba kontroli przed złośliwym oprogramowaniem.
  • Bezpieczne kodowanie – A.8.28 – Chociaż jest powiązane z poprzednimi kontrolami rozwoju, to wzmacnia się je, zwłaszcza dostęp do odczytu i zapisu oraz biblioteki itp.

 

Zmiany w treści punktów od 4 do 10 nie są poważne, ale obejmują;

 

  • 6.1.3 zmienia terminy użyte w Załączniku A.
  • 6.2 stwierdza, że cele muszą być monitorowane.
  • 6.3 stwierdza, że zarządzanie zmianą to nowy wymóg.
  • 7.4 stwierdza, że organizacje muszą określić sposób komunikowania się.
  • 9.3 przegląd zarządzania musi uwzględniać zmiany w potrzebach i oczekiwaniach zainteresowanych stron.

 

Nowe wydanie normy ISO/IEC 27001:2022 wprowadza znacznie więcej zmian, których nie byliśmy w stanie opisać w tym krótkim artykule. Jeśli zatem chcesz dowiedzieć się jakie są najważniejsze zmiany, jak je zaimplementować i jak dostosować swój system zarządzania bezpieczeństwem informacji do ISO/IEC 27001:2022 skorzystaj z naszej oferty szkoleń lub skontaktuj się naszym działem certyfikacji.

Skontaktuj się z nami

Wyrażam zgodę na przetwarzanie moich danych osobowych zgodnie z polityką prywatności.

Mapa strony
ISOQAR CEE sp. z o.o z siedzibą w Warszawie, adres: ul. Wąwozowa 11, 02-796 Warszawa, NIP 9512091016, wpisana do Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy w dla m.st. Warszawy, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000178492, wysokość kapitału zakładowego: 50.000,00 zł

Projekt i realizacja:

Media Solutions Group&Web Development

Regulamin plików cookies

Polityka prywatności