Nowa "stara" norma ISO 27001:2022

2022-10-03

Najpopularniejszy na świecie standard dotyczący bezpieczeństwa informacji, ISO 27001, został zaktualizowany po dziewięciu latach. Nowa norma ISO/IEC 27001:2022 została opublikowana 25 października 2022 r. i nie przyniosła rewolucyjnych zmian  a raczej kosmetyczne. 

Tekst obowiązkowych punktów od 4 do 10 zmienił się tylko nieznacznie, głównie w celu dostosowania do norm ISO 9001, ISO 14001 i innych norm zarządzania ISO oraz załącznika SL.

Oto zakres zmian w ISO 27001:2022:

  1. W punkcie 4.2 (Zrozumienie potrzeb i oczekiwań stron zainteresowanych) dodano punkt (c) wymagający analizy, które z wymagań stron zainteresowanych muszą być uwzględnione w SZBI.
  2. W punkcie 4.4 (System zarządzania bezpieczeństwem informacji) dodano frazę wymagającą planowania procesów i ich interakcji w ramach SZBI.
  3. W klauzuli 5.3 (Role organizacyjne, obowiązki i uprawnienia) dodano wyrażenie wyjaśniające, że komunikacja ról odbywa się wewnętrznie w organizacji.
  4. W punkcie 6.2 (Cele bezpieczeństwa informacji i planowanie ich osiągnięcia) dodano punkt (d), który wymaga monitorowania celów.
  5. Dodano klauzulę 6.3 (Planowanie zmian), wymagającą, aby wszelkie zmiany w SZBI były dokonywane w zaplanowany sposób.
  6. W punkcie 7.4 (Komunikacja) usunięto punkt (e), który wymagał ustanowienia procesów komunikacji.
  7. W punkcie 8.1 (Planowanie i sterowanie operacyjne) dodano nowe wymagania dotyczące ustalania kryteriów dla procesów bezpieczeństwa oraz wdrażania procesów według tych kryteriów. W tej samej klauzuli skreślono wymóg realizacji planów dla osiągnięcia celów.
  8. W klauzuli 9.3 (Przegląd zarządzania) dodano nowy punkt 9.3.2 c), który wyjaśnia, że ​​wkłady zainteresowanych stron muszą dotyczyć ich potrzeb i oczekiwań oraz być istotne dla SZBI.
  9. W punkcie 10 (Udoskonalenie) podpunkty zmieniły się miejsca, więc pierwszy to Ciągłe doskonalenie (10.1), a drugi to Niezgodność i działanie korygujące (10.2), a treść tych punktów nie uległa zmianie.

W  załączniku A większość punktów kontroli albo pozostała bez zmian (35 z nich), albo zmieniono jedynie nazwę (23 z nich). Kolejnych 57 punktów kontroli zostało połączonych, co zmniejszyło liczbę kontroli, ale wymagania w ramach tych kontroli pozostały prawie takie same. 

Okres przejścia na nowa normę
Dla firm, które są już certyfikowane zgodnie z ISO 27001:2013, przejście na ISO 27001:2022 musi zakończyć się do 31 października 2025 roku.
Jednostki certyfikujące muszą rozpocząć certyfikację orgaznizacji zgodnie z ISO 27001:2022 najpóźniej od 31 października 2023 r., ale na pewno większość z nich zacznie ten proces wcześniej.
Podsumowując, zmiany w głównej części standardu są niewielkie i można je wykonać dość szybko, przy niewielkich zmianach w dokumentacji i procesach

Jeżeli chcesz przejść na nowe wymagania już teraz skontaktuj się z kliknij ISO 27001