current language
Poland dostępne w następujących językach:
… lub wybierz stronę TÜV Rheinland danego kraju:

Aktualizacja normy ISO/IEC 27001:2022 nt. bezpieczeństwa informacji

Dlaczego norma ISO/IEC 27001:2013 została zaktualizowana do wersji ISO/IEC 27001:2022?

Norma ISO/IEC 27001 zapewnia firmom ramy cyberbezpieczeństwa do zarządzania ryzykiem i ochrony przed zagrożeniami. Zgodność z tymi ramami pomaga zabezpieczyć zasoby informacyjne, takie jak informacje finansowe, dane osobowe i własność intelektualna. Obejmuje to informacje związane z działalnością organizacji i jej pracownikami, a także klientami i dostawcami.

Cyberbezpieczeństwo powinno być teraz na szczycie listy priorytetów każdej firmy. Incydenty cybernetyczne, takie jak naruszenia danych i oprogramowanie ransomware, regularnie trafiają na pierwsze strony gazet. Sytuację pogarszają globalne napięcia polityczne. Ponadto większość przedsiębiorstw korzysta obecnie z infrastruktury opartej na chmurze, a w wielu krajach około jedna trzecia pracowników pracuje zdalnie, przynajmniej przez część czasu. W wyniku tych zmian organizacje są zobowiązane do ponownej oceny ryzyka i środków zaradczych w ustrukturyzowany sposób, w kontekście ich SZBI. Ponieważ norma ISO/IEC 27001:2013 została opublikowana w 2013 r., aktualizacje normy ISO/IEC 27001:2022 były konieczne, aby pomóc w uwzględnieniu wyżej wymienionych zmian.

Nowelizacja normy ISO/IEC 27001:2022

Norma ISO/IEC 27001:2022 określa dodatkowe mechanizmy kontrolne, które organizacje mogą wybrać w celu uwzględnienia wielu zagrożeń związanych z nowoczesnym miejscem pracy. Aktualizacje te są zawarte w załączniku A, w którym zmiany w kontrolach odzwierciedlają wcześniejsze modyfikacje w ISO/IEC 27002:2022. Rezultatem jest 11 nowych kontroli i jedna usunięta kontrola ISO/IEC 27001:2013, a wiele innych zostało zaktualizowanych lub połączonych. Zmiany związane z przejściem można podsumować w sposób przedstawiony poniżej:

Załącznik A ISO/IEC 27001:2013 ISO/IEC 27001:2022
Elementy sterujące11493
Kategorie kontroli134
  • kontrole organizacyjne
  • Kontrola osób
  • Kontrola fizyczna
  • Kontrole technologiczne

Tytuł normy ISO/IEC 27001:2022 został zaktualizowany, aby odzwierciedlić zwiększony nacisk na cyberbezpieczeństwo i ochronę prywatności. Nowa wersja odzwierciedla również zmiany w miejscu pracy i krajobrazie zagrożeń, w tym te, które powstały w wyniku zwiększonej pracy zdalnej i korzystania z pamięci masowej w chmurze. Ponadto wprowadzono pięć wartości atrybutów, które można przypisać do każdej kontroli z załącznika A, umożliwiając ich sortowanie według wyznaczonych atrybutów. Ma to na celu umożliwienie dostosowania i interoperacyjności ISO/IEC 27001:2022 z innymi najlepszymi praktykami w zakresie cyberbezpieczeństwa, takimi jak publikacje NIST.

Ponadto norma ISO/IEC 27001:2022 obejmuje również niewielkie dostosowanie do struktury wysokiego poziomu ISO, do której odwołują się inne normy dotyczące systemów zarządzania, takie jak ISO 9001:2015 i ISO 22301:2019. Zmiany te mają jednak na celu doprecyzowanie istniejących wymagań, a nie dodanie nowych.

Okres przejściowy i harmonogramy

Norma ISO/IEC 27001:2022 została wydana w październiku 2022 roku. Okres przejściowy wynosi trzy lata. Aby utrzymać certyfikację, wszystkie certyfikaty ISO/IEC 27001:2013 muszą zostać przeniesione na ISO/IEC 27001:2022 przed 1 listopada 2025 roku. Audyt przejścia może być przeprowadzony podczas zaplanowanych audytów w trakcie trzyletniego okresu przejściowego lub może być przeprowadzony jako dodatkowy audyt specjalny.

Transformacja powinna rozpocząć się wcześniej niż później, aby zapewnić jej zakończenie w ciągu 3-letniego okresu przejściowego. Umożliwi to odpowiednie przygotowanie do włączenia niezbędnych zmian do SZBI.

Powyższe stwierdzenia muszą uwzględniać dwa kamienie milowe przejścia, które zostały wyszczególnione poniżej:

1 maja 2024 r. - po tej dacie wszystkie nowe certyfikacje i audyty recertyfikacyjne muszą być zgodne z normą ISO/IEC 27001:2022

Koniec października 2025 r. - kończy się okres przejściowy, po którym certyfikaty ISO/IEC 27001:2013 nie będą już ważne.

  • Przejście na ISO/IEC 27001:2022 zakończone podczas audytów nadzoru lub audytów specjalnych będą wymagały dodatkowego jednego dnia audytu i utrzymają istniejącą datę ważności certyfikatów.
  • Przejście na ISO/IEC 27001:2022 zakończone podczas audytów recertyfikacyjnych będą wymagały dodatkowego pół dnia audytu i spowodują odnowienie certyfikatów na kolejny trzyletni okres.
  • Dodatkowy czas audytu w celu oceny przejścia na ISO/IEC 27001:2022 został określony w dokumencie International Accreditation (IAF) Forum MD 26:2022 Transition Requirements for ISO/IEC 27001:2022. W związku z tym wymagania te mają zastosowanie do wszystkich jednostek certyfikujących akredytowanych przez IAF.

Zalecane kroki w celu przejścia na normę ISO/IEC 27001:2022

Jak możemy pomóc

Możemy wesprzeć przejście na ISO/IEC 27001:2022 audytem początkowym lub przejściowym:

  • Zaoferować szkolenie ISO/IEC 27001:2022, zapewniające przegląd kluczowych zmian i procesu przejścia.
  • Przeprowadzić ocenę luk w celu wskazania, w jakim stopniu SZBI spełnia wymagania normy ISO/IEC 27001:2022.
  • Przeprowadzić audyty ISO/IEC 27001:2022 w celu przejścia certyfikacji na nową wersję normy.

Poznaj ISO/IEC 27001:2022. Dołącz do naszego webinarium na żądanie, aby dowiedzieć się więcej

Chcesz dowiedzieć się więcej o przejściu na ISO/IEC 27001:2022 lub certyfikacji? Weź udział w naszym webinarium na żądanie, aby dowiedzieć się więcej o krokach wymaganych do uzyskania certyfikatu ISO/IEC 27001:2022.

Chcesz dowiedzieć się więcej o przejściu na ISO/IEC 27001:2022 lub certyfikacji? Weź udział w naszym webinarium na żądanie, aby dowiedzieć się więcej o krokach wymaganych do uzyskania certyfikatu ISO/IEC 27001:2022.

KONTAKT

Skontaktuj się z nami