ISO/IEC 27001:2022. Jaký je rozdíl mezi ISO/IEC 27001:2013 a ISO/IEC 27001:2022? Jak postupovat v přechodném období do října 2025?

, , , , Certifikace systémů kvality, ISO 27001, kybernetická bezpečnost, certifikace cloudových služebJF

Po 9 letech ISO (Mezinárodní organizace pro normalizaci) a IEC (Mezinárodní elektrotechnická komise) přezkoumaly a revidovaly normu ISO/IEC 27001:2013 a v říjnu 2022 zveřejnily novou normu ISO/IEC 27001:2022.

Toto třetí vydání normy ISO/IEC 27001:2022 Information security , cybersecurity and privacy protection — Information security management systems — Requirements ruší a nahrazuje druhé vydání (ISO/IEC 27001:2013)

Norma ISO/IEC 27001:2022 specifikuje požadavky na sestavení, implementaci, provoz, monitorování, přezkoumání a zlepšování systému managementu informační bezpečnosti. Cílem normy je systematicky zajistit aby nedošlo k narušení informační bezpečnosti organizace a zamezit tak vážným finančním škodám nebo případným obtížím ztráty důvěry organizace.

Jak se očekávalo, text normy byl sladěn s harmonizovanou strukturou norem systému managementu a ISO/IEC 27002:2022.

Revize normy ISO/IEC 27001:2022 se zaměřila hlavně na následující body:

  • Organizační opatření
  • Personální opatření
  • Fyzická opatření
  • Technická opatření

Jaký je rozdíl mezi ISO/IEC 27001:2013 a ISO/IEC 27001:2022? Jak postupovat v přechodném období do října 2025 a do kdy platí certifikáty podle normy ISO/IEC 27001:2013? Jak se připravit na certifikaci podle nové normy ISO/IEC 27001:2022?

První změna – norma ISO/IEC 27001:2022 má nový název!

Ve srovnání se starým vydáním se počet kontrol v ISO/IEC 27002:2022 snížil ze 114 kontrol ve 14 oblastech na 93 kontrol ve 4 oblastech. Kromě toho je revidována struktura kontroly, která zavádí „atribut“ a „účel“ pro každou kontrolu a již nepoužívá „objektiv“ pro skupinu kontrol.

Tento obrázok nemá vyplnený ALT popisok, jeho názov je webpc-passthru.php

Souhrn nejvýznamnějších změn v nové ISO/IEC 27001:2022 – Část 1; Požadavky na systém řízení

Název a pořadí standardních doložek (4-10) zůstávají stejné v souladu s požadavky „10bodové struktury normy“. Bylo však zavedeno několik menších změn, zejména v článcích 4.2, 6.2, 6.3, 8.1 a 9.3.2, kde byly přidány další nové požadavky. Existují i další aktualizace včetně některých změn v přeformulování terminologie.

ISO/IEC 27001:2022 článek 4.2 Pochopení potřeb a očekávání zúčastněných stran

  • Doplněno: C) Požadavky zúčastněných stran budou řešeny prostřednictvím systému řízení informační bezpečnosti.

ISO/IEC 27001:2022 článek 6.2 Cíle informační bezpečnosti a plánování jejich dosažení

  • Doplněno: Cíle informační bezpečnosti budou d) monitorovány ag) dostupné jako zdokumentované informace.

ISO/IEC 27001:2022 článek 6.3 Plánování změn (nové ustanovení)

  • Přidáno nové ustanovení: „ Když organizace určí potřebu změn v systému managementu informační bezpečnosti, změny musí být provedeny plánovaným způsobem.

ISO/IEC 27001:2022 článek 8.1 Operativní plánování a kontrola

  • Přidáno: Stanovení kritérií pro procesy
  • Doplněno: Zavedení kontroly procesů v souladu s kritérii
  • Pozměněno: Organizace musí zajistit, aby externě poskytované procesy, produkty nebo služby , které jsou relevantní pro systém managementu informační bezpečnosti, byly kontrolovány.
  • Slovo “ outsourcované “ bylo nahrazeno výrazem “ poskytované externě“
  • K požadavkům byl přidán výraz „Produkty nebo služby“ .

ISO/IEC 27001:2022 článek 9.1 Monitorování, měření, analýza a hodnocení

  • Doplněno: Organizace vyhodnotí výkonnost informační bezpečnosti a efektivnost systému řízení informační bezpečnosti.

ISO/IEC 27001:2022 článek 9.3 Přezkum managementem

  • Doplněno: (vstup pro přezkum řízením) c) změny v potřebách a očekáváních zúčastněných stran, které jsou relevantní pro systém řízení informační bezpečnosti.

Přehled změn ISO/IEC 27001:2022 – 2. část; Kontrola přílohy A

Podle normy ISO 27002:2022 i norma ISO 27001:2022 uvádí 93 opatření namísto předchozích 114. V nové verzi ISO/IEC 27001:2022 jsou opatření seskupena do 4 kategorií namísto předchozích 14 oblastí. Jsou to

  • organizační, 37 opatření,
  • Lidé, 8 opatření,
  • Fyzické 14 opatření a
  • Technologické, 34 opatření

Příloha A nové verze ISO/IEC 27001:2022 nyní obsahuje celkem 93 opatření, z nichž je 11 nových:

Nových je i několik oblastí, pro které se bude vyžadovat řízení a opatření (v případě, že jsou v organizaci aplikovatelné), například:

  • Správa hrozeb (Opatření: Informace související s hrozbami informační bezpečnosti by měly být shromažďovány a analyzovány, aby se vytvořila správa hrozeb.)
  • Informační bezpečnost při používání cloudových služeb (Opatření: Procesy získávání, používání, správy a ukončení cloudových služeb by měly být vytvořeny v souladu s požadavky organizace na bezpečnost informací.)
  • Připravenost ICT na kontinuitu podnikání (Opatření: Připravenost ICT by měla být plánována, implementována, udržována a testována na základě cílů kontinuity podnikání a požadavků na kontinuitu ICT.)
  • Monitorování fyzické bezpečnosti (Opatření: Prostory by měly být nepřetržitě monitorovány, aby se předešlo neautorizovanému fyzickému přístupu.)
  • Řízení konfigurace (Opatření: Konfigurace, včetně bezpečnostních konfigurací, hardwaru, softwaru, služeb, a sítí, by měly být vytvořeny, zdokumentovány, implementovány, monitorovány a přezkoumávány.)
  • Vymazání informace (Opatření: Informace uložené v informačních systémech a zařízeních by měly být vymazány, pokud již nejsou potřebné.)
  • Maskování údajů (Opatření: Maskování údajů by se mělo používat v souladu s politikou organizace zaměřenou na řízení přístupu a obchodními požadavky, se zohledněním legislativních požadavků.)
  • Prevence úniku údajů (Opatření: Na systémy, sítě a koncová zařízení, která zpracovávají, uchovávají nebo přenášejí citlivé informace, by se měla aplikovat opatření k předcházení úniku údajů.)
  • Monitorovací činnosti (Opatření: V sítích, systémech a aplikacích by se mělo monitorovat neobvyklé chování a měla by být přijata vhodná opatření k vyhodnocení potenciálních incidentů bezpečnosti informací.)
  • Filtrování webu (Opatření: Přístup k externím webovým stránkám by měl být řízen, aby se snížilo vystavení škodlivému obsahu.)
  • Bezpečné kódování (Opatření: Na vývoj softwaru by se měly vztahovat zásady bezpečného kódování.)

Opatření je třeba zvážit ve světle normy ISO 27002:2022, protože každému opatření je přiřazeno pět atributů, které vyžadují přezkoumání různých pohledů a perspektiv pro každý z nich. Těchto pět atributů je:

  1. Typ kontroly (preventivní, detektivní, korektivní )
  2. Vlastnosti informační bezpečnosti (CIA)
  3. Koncepty kybernetické bezpečnosti (identifikovat, chránit, zjišťovat, reagovat a obnovovat)
  4. Operační schopnosti
  5. Bezpečnostní systémy

Zásady společnosti eucert s.r.o. v přechodném období, plán činností a časové harmonogramy přechodu na ISO/IEC 27001:2022

  • Od přijetí normy začalo běžet přechodné období, které končí v říjnu 2025. Certifikace dle ISO/IEC 27001:2013 je platná až do 10/2025.
  • Certifikační orgán eucert s.r.o. již aktualizoval svou politiku a postupy, vyškolila zaměstnance a auditory a zavedla své přechodné opatření pro ISO/IEC 27001:2022 s ohledem na požadavky IAF MD 26:2022 – PŘECHODNÉ POŽADAVKY PRO ISO/IEC 27001:2022
  • Certifikační orgán eucert s.r.o. požádá v nejbližším akreditačním cyklu o akreditaci pro certifikaci podle požadavků ISO/IEC 27001:2022
  • Certifikační orgán eucert s.r.o. předpokládá zahájení certifikace resp. přechod na novou normu po získání nové akreditace pro certifikaci dle požadavků ISO/IEC 27001:2022. Certifikace podle ISO/IEC 27001:2013 a certifikáty vydané podle této normy mají do října 2025 stejnou hodnotu jako certifikace a certifikáty ISO/IEC 27001:2022. Naši klienti se postupně do roku 2025 v klidu mohou připravovat na přechod na požadavky nové normy a po vzájemné dohodě se uskuteční audit během kterého dojde k přechodu.
  • Přechodový audit po získání naší nové akreditaci pro certifikaci dle požadavků ISO/IEC 27001:2022 může být proveden během dozorového auditu, recertifikačního auditu nebo prostřednictvím samostatného auditu.
  • Všichni klienti s certifikací ISO 27001 musí přejít na novou verzi do 36 měsíců od zveřejnění nové normy ISO 27001 (říjen 2025).
  • Všechny certifikáty ISO/IEC 27001:2013 budou odebrány na konci přechodného období, v říjnu 2025.

Jak se připravit na certifikaci podle nové normy ISO/IEC 27001:2022? Kde mohu zakoupit normu ISO/IEC 27001:2022?

  • Zakupte si kopii nové normy ISO 27001 a identifikujte organizační mezery, které je třeba vyřešit, abyste splnili nové požadavky ( kopii normy ISO 27001 můžete zakoupit např. zde )
  • Vypracujte plán implementace požadavků ISO/IEC 27001:2022
  • Aktualizovat prohlášení o použitelnosti ( SoA )
  • Zpracujte GAP analýzu
  • Proveďte nová nebo pozměněná opatření
  • Poskytněte vhodná školení a informace pro všechny zúčastněné strany
  • Aktualizovat stávající systém řízení informační bezpečnosti tak, aby splňoval revidované požadavky a poskytoval ověření účinnosti
  • Certifikáční orgán eucert s.r.o. bude průběžně zveřejňovat ve svých newslettrech odborné informace týkající se normy ISO/IEC 27001:2022. Spojte se s naší společností v případě jakýchkoli otázek týkajících se přechodného období certifikace podle normy ISO/IEC 27001:2022.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *