W dniu 25 października 2022 zostało opublikowane nowe wydanie standardu ISO/IEC 27001:2022.

Klienci certyfikowani na zgodność z normą PN-EN ISO/IEC 27001:2017, powinni przejść na nowe wydanie w okresie 36 miesięcy od ostatniego dnia miesiąca publikacji normy ISO/IEC 27001:2022 tj. do dnia 30.10.2025. Po tym terminie certyfikaty wydane na zgodność z PN-EN ISO/IEC 27001:2017 utracą ważność.

Organizacja ma możliwość przejścia na wydanie standardu ISO/IEC 27001:2022:

• w połączeniu z auditem w nadzorze,
• w połączeniu z auditem ponownej certyfikacji (od października 2024 nie będą prowadzone audity ponownej certyfikacji na zgodność z wydaniem PN-EN ISO/IEC 27001:2017),
• jako oddzielny audit,

Istotnym jest zachowanie wyżej określonych terminów.

Celem wdrożenia wymagań nowego wydania standardu ISO/IEC 27001:2022 organizacja powinna co najmniej:

• dokonać analizy luk, określić potrzebę i wdrożyć wymagane zmiany w swoim systemie zarządzania bezpieczeństwem informacji,
• dokonać aktualizacji deklaracji stosowania,
• dokonać aktualizacji w zakresie zarządzania ryzykiem w obszarze systemu zarządzania bezpieczeństwem informacji,
• wdrożyć i ocenić skuteczność nowych lub zmienionych zabezpieczeń informacji.

Główne zmiany w ISO/IEC 27001:2022 w porównaniu z ISO/IEC 27001:2017

Najważniejsze zmiany to aktualizacja listy zabezpieczeń – obecnie zamiast 114 mamy 93 zabezpieczeń, w tym dodano 11 nowych zabezpieczeń, takich jak:

• analiza zagrożeń,
• bezpieczeństwo informacji przy korzystaniu z usług w chmurze,
• gotowość teleinformatyczna do zapewnienia ciągłości działania,
• monitorowanie bezpieczeństwa fizycznego,
• zarządzanie konfiguracją,
• usuwanie informacji,
• maskowanie danych,
• zapobieganie wyciekom danych,
• działania monitorujące,
• filtrowanie sieci,
• bezpieczne kodowanie.

Połączono 24 dotychczasowe zabezpieczenia i zaktualizowano 58 zabezpieczeń. Przebudowane zabezpieczenia podzielono na 4 grupy:

• zabezpieczenia organizacyjne – 37 elementów,
• zabezpieczenia osobowe – 8 elementów,
• zabezpieczenia fizyczne – 14 elementów,
• zabezpieczenia technologiczne – 44 elementy.

Struktura zabezpieczeń została znowelizowana poprzez wprowadzenie „atrybutu” i „celu” dla każdego zabezpieczenia.

Referencyjny zestaw ogólnych zabezpieczeń bezpieczeństwa informacji wraz z wytycznymi dotyczącymi ich wdrażania zawiera norma PN-EN ISO/IEC 27002:2022 „Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności – Zabezpieczanie informacji”.

Porównując zabezpieczenia ujęte w SZBI z zabezpieczeniami z Załącznika A, organizacja musi potwierdzić, że żadne zabezpieczenie z wzorcowego wykazu w załączniku A nie zostało pominięte podczas aktualizacji systemu zarządzania bezpieczeństwem informacji do Standardu ISO/IEC 27001:2022.

Certyfikacja

Wdrożenie i stosowanie systemu zarządzania bezpieczeństwem informacji zgodnie z wymaganiami normy ISO/IEC 27001 wspiera każdą organizację w zapewnieniu ochrony i bezpieczeństwa wszelkich jej danych.

Zmniejszenie ryzyka utraty informacji na obecnym etapie rozwoju organizacyjno-technicznego jest niemalże koniecznością. Ponadto ujawnienie istotnych informacji może prowadzić do utraty konkurencyjności organizacji i daleko idących konsekwencji wynikających z naruszenia ochrony danych.

Z tego też względu informacja powinna w każdej organizacji podlegać szczególnej ochronie.

Wdrożenie Normy ISO/IEC 27001 pozwala na zapewnienie:

• poufności – daje gwarancję, że informacje są dostępne tylko i wyłącznie dla autoryzowanych osób – pracowników, posiadających prawo dostępu do danych,
• integralności – zabezpiecza ona dokładność i kompletność zarówno informacji, jak też i stosowanych metod jej ochrony,
• dostępności – gwarancja, że użytkownicy posiadający stosowne uprawnienia mają stały dostęp do informacji i zgromadzonych zasobów.

Korzyści z stosowania normy ISO/IEC 27001 to:

• ułatwiony nadzór i zapewnienie bezpieczeństwa informacji,
• zarządzanie ryzykiem i eliminowanie zagrożeń związanych z utratą kontroli nad bezpieczeństwem informacji,
• zwiększenie konkurencyjności na rynku i zagwarantowanie kontrahentom, że ich dane/informacje są bezpieczne.

Jeżeli oczekujecie Państwo profesjonalnej usługi certyfikacyjnej, to nasza oferta z pewnością zaspokoi Państwa potrzeby. Certyfikaty wydawane przez IQS CERT są gwarancją prestiżu i zaufania.