Norma ISO/IEC 27001 dotycząca systemu zarządzania bezpieczeństwem informacji zapewnia firmom rzetelną podstawę do zarządzania ryzykiem i ochrony przed zagrożeniami w celu utrzymania bezpieczeństwa aktywów informacyjnych, od informacji finansowych i własności intelektualnej po dane pracowników i inne.
Obecnie bezpieczeństwo informacji znajduje się na pierwszym miejscu w strategii każdej firmy. Wraz z nowymi okolicznościami mającymi wpływ na funkcjonowanie systemu bezpieczeństwa zmieniają się również priorytety. W zwiazku z coraz częstszym stosowaniem technologii chmury i automatyzacji jak i pojawianiem się złośliwego oprogramowania typu ransomware, firmy są zmuszone do ponownej oceny głównych ryzyk i zagrożeń dla wszystkich interesariuszy w odpowiedni, uporządkowany sposób.
Publikacja nowej wersji standardu okazała się konieczna, aby pomóc firmom w funkcjonowaniu w nowych warunkach i upewnić się, że aktualne kontrole bezpieczeństwa działają.
ISO/IEC 27001:2022
Nowa wersja ISO/IEC 27001:2022 odnosi się do nowych wyzwań, z którymi firmy muszą się zmierzyć. Zmiany dotyczą głównie załącznika A, przewidywanego przez publikację ISO/IEC 27002, gdzie dodano, usunięto lub połączono środki kontroli bezpieczeństwa. Zmiany obejmują aspekty cyberbezpieczeństwa i prywatności, a sam język kontroli został uaktualniony o dodatkowe wskazówki. Zmiana ta pomoże firmom w zarządzaniu ryzykiem, upewnieniu się, że nic nie zostało pominięte oraz to, że system zarządzania bezpieczeństwem informacji funkcjonuje prawidłowo.
Ostatnia wersja normy została wydana w 2013 roku. Nie dziwi więc, że zmiany w kontroli bezpieczeństwa są dość znaczące - 11 nowych, 58 zaktualizowanych i 24 połączone. Zmieniające się okoliczności, na które zwraca się szczególną uwagę to:
- Wprowadzenie technologii cyfrowych, takich jak chmura i automatyzacja
- Mające ostatnio miejsce, zwiększone stosowanie powyższych technologii
- Rozpoznanie ryzyka związanego z bezpieczeństwem cybernetycznym i prywatnością
- Odzwierciedlenie zmieniającego się krajobrazu zagrożeń, np. nowe rodzaje złośliwego oprogramowania typu ransomware
- Dostosowanie do innych najlepszych praktyk, np. NIST, COBIT itp.
- Uaktualnienie języka kontroli i dodanie dodatkowych wskazówek.
Główne obszary, na które wpływają zmiany to:
- Przywództwo,
- Bezpieczeństwo korporacyjne,
- Funkcja działu IT,
- Inne funkcje wspomagające,
- Dostawa (dla dostawców usług).
Aby zachować zgodność z nowym wydaniem normy, organizacje muszą ponownie ocenić swoje poziomy ryzyka i przywrócić swoją kontrolę nad bezpieczeństwem.
Oprócz zmian w kontrolach, edycja 2022 jest również dostosowana do najnowszych aktualizacji ISO High Level Structure (HLS). Zmiany te oparte są na najnowszej wersji Załącznika SL Dyrektyw ISO/IEC Część 1 (2022). Nie mniej, powyższe zmiany są uważane za niewielkie, ponieważ edycja standardu ISO 27001 z roku 2013 była jedną z pierwszych norm, które przyjęły HLS.
Okres przejścia
Nowa wersja ISO/IEC 27001 została wydana 25 października 2022 roku. Czas przejścia na nową wersję ma wynosić 3 lata. Obecne certyfikaty z 2013 roku muszą więc zostać przeniesione do nowej wersji przed listopadem 2025 roku.
Audyt przejściowy może być przeprowadzony podczas każdego zaplanowanego audytu w trakcie 3-letniego okresu przejściowego, ale może być również przeprowadzony jako audyt dodatkowy (przejścia na nowy wydanie normy).
Przygotowanie do wdrożenia
Zalecamy jak najwcześniejsze rozpoczęcie przygotowań do przejścia na nową normę i odpowiednie zaplanowanie włączenia potrzebnych zmian do systemu zarządzania.
Zalecane kroki dotyczące przejścia:
- Zapoznaj się z treścią i wymaganiami nowej normy. Skoncentruj się na zmianach implikowanych przez znowelizowaną normę.
- Upewnić się, że odpowiedni personel w organizacji został przeszkolony i rozumie wymagania oraz kluczowe zmiany.
- Zidentyfikuj luki, którymi należy się zająć, aby spełnić nowe wymagania i ustanowić plan wdrożenia.
- Wdrożenie działań i aktualizacja systemu zarządzania w celu spełnienia nowych wymagań.
Jak możemy pomóc?
Niezależnie od tego, czy Twoja firma posiada obecnie certyfikat zgodności z normą ISO/IEC 27001, czy jeszcze nie, DNV może wesprzeć w certyfikacji systemu zarządzania bezpieczeństwem informacji oraz w procesie przejścia. Jako wiodąca jednostka certyfikująca, współpracujemy z małymi i dużymi firmami na całym świecie w zakresie ich potrzeb związanych z bezpieczeństwem informacji i ochroną prywatności.
Jeśli przygotowujesz się do przejścia z wersji 2013 na wersję 2022, możemy Cię wesprzeć poprzez:
- Szkolenie, na którym dowiesz się więcej na temat przejścia i uzyskasz podstawowy przegląd kluczowych zmian i procesu przejścia.
- Narzędzia do samooceny online oraz oceny luk, aby zmierzyć, w jakim stopniu Twój system zarządzania spełnia nowe wymagania.
- Audyt przejściowy w celu dostosowania certyfikacji do nowej wersji normy.
Służymy wsparciem na każdym kroku całego procesu.
Zastanawiasz się nad uzyskaniem certyfikatu ISO/IEC 27001 po raz pierwszy? Odwiedź naszą stronę poświęconą systemowi zarządzania bezpieczeństwem informacji, aby dowiedzieć się więcej o jego cechach, korzyściach i drodze do certyfikacji.