ISO/IEC 27001:2022 „Bezpečnosť informácií, kybernetická bezpečnosť a ochrana súkromia – Systémy riadenia bezpečnosti informácií – Požiadavky“ bola vydaná v októbri 2022 a nahrádza ISO/IEC 27001:2013 počas trojročného prechodného obdobia.
Všetky organizácie, ktoré si želajú zostať certifikované podľa ISO/IEC 27001, budú musieť prejsť na revíziu normy z roku 2022 v stanovenom prechodnom období, ktoré skončí v októbri 2025.
Významné dátumy prechodného obdobia týkajúce sa normy ISO/IEC 27001:2022
- 25. október 2022 – ISO/IEC 27001:2022 3. vydanie – Dátum vydania
- 31. októbra 2022 – začína prechodné obdobie
- certifikačné orgány poskytnú prechodové audity alebo počiatočné audity podľa ISO 27001:2022 po požadovanom posúdení akreditačným orgánom,
- Súčasná certifikovaná organizácia naplánuje prechodový audit, aby zabezpečila vydanie revidovaného certifikátu pred koncom prechodného obdobia.
- 1. mája 2024 – všetky počiatočné (nové) certifikácie by po tomto dátume mali byť podľa vydania ISO/IEC 27001:2022 a pre všetky recertifikačné audity sa po tomto dátume odporúča používať vydanie ISO 27001:2022.
- 31. júl 2025 – všetky prechodové audity by sa mali vykonať do tohto dátumu.
- 31. októbra 2025 – Prechodné obdobie končí
Certifikáty pre ISO/IEC 27001:2013 už po tomto dátume nebudú platné.
Hlavné zmeny ISO/IEC 27001:2022 v porovnaní s normou ISO/IEC 27001:2013
ISO/IEC 27001:2022 reviduje druhé vydanie tej istej medzinárodnej normy, ktorá bola publikovaná v roku 2013. Jej text bol zmenený tak, aby bol v súlade s harmonizovanou štruktúrou noriem systému manažérstva vydávaných organizáciou ISO.
Zmeny v tele normy ISO/IEC 27001 boli vykonané za účelom lepšieho súladu s harmonizovanou štruktúrou noriem systému manažmentu (tj príloha SL).
Celkovo zostáva zámer normy rovnaký, pričom základné základné aspekty riadenia rizík zostávajú nezmenené. Na základe prístupu založeného na riziku norma chráni dôvernosť, integritu a dostupnosť informačných aktív
Príloha A ISO/IEC 27001:2022 zaznamenala najväčšiu zmenu. Aktualizovaná verzia prílohy A ISO/IEC 27001:2022 bola kompletne prerobená a revidovaná. V dôsledku toho sa počet kontrol v novej verzii ISO/IEC 27001:2022 znížil zo 114 na 93. Okrem toho sú teraz tieto bezpečnostné kontroly rozdelené do štyroch sekcií namiesto predchádzajúcich 14.
Okrem toho táto zmena predstavuje hmatateľný pokus urobiť normu ISO/IEC 27001:2022 stručnejšiu a jednoduchšiu na implementáciu. Presahy a opakovania boli odstránené, aby sa vytvorilo päť hlavných bezpečnostných atribútov, ktoré uľahčujú ich zoskupovanie.
Zmeny v prílohe A odrážajú zmeny vykonané v novej norme ISO 27002:2022 uverejnenej vo februári 2022, ktorá je doplnkovou normou pre vykonávanie normy ISO 27001. Medzi kľúčové zmeny patria nasledujúce:
- Ovládacie prvky sú preskupené do štyroch oblastí – Organizačné, Ľudia, Fyzikálne a Technologické namiesto predchádzajúcich 14.
- Časť 5: Organizačné (37 ovládacích prvkov)
- Časť 6: Ľudia (8 ovládacích prvkov)
- Časť 7: Fyzické (14 ovládacích prvkov)
- Časť 8: Technologické (34 ovládacích prvkov)
- Celkový počet kontrol sa znížil zo 114 na 93 .
Neboli vylúčené žiadne kontroly, niektoré sa zlúčili kvôli racionalizácii a účinnosti. Preto zníženie počtu ovládacích prvkov.- 57 kontrol bolo zlúčených do 24 kontrol.
- 35 kontrol zostalo rovnakých so zmenou čísla kontroly.
- 23 ovládacích prvkov bolo premenovaných.
- Len jedna kontrola bola rozdelená, Kontrola 18.2.3 Kontrola technickej zhody:
- 5.3.6 – Súlad s politikami, pravidlami a štandardmi pre informačnú bezpečnosť.
- 8.8 – Riadenie technických zraniteľností
- Bol zavedený koncept atribútov.
- Pribudlo 11 nových bezpečnostných kontrol.
V prípade otázok týkajúcich sa novej normy ISO/IEC 27001:2022, alebo poradenstva v oblasti informačnej bezpečnosti alebo samotnej certifikácie podľa požiadaviek normy ISO/IEC 27001:2022 nás prosím kontaktujte.
