ISO/IEC 27001:2022. Jaký je rozdíl mezi ISO/IEC 27001:2013 a ISO/IEC 27001:2022? Jak postupovat v přechodném období do října 2025?

Po 9 letech ISO (Mezinárodní organizace pro normalizaci) a IEC (Mezinárodní elektrotechnická komise) přezkoumaly a revidovaly normu ISO/IEC 27001:2013 a v říjnu 2022 zveřejnily novou normu ISO/IEC 27001:2022.

Toto třetí vydání normy ISO/IEC 27001:2022 Information security , cybersecurity and privacy protection — Information security management systems — Requirements ruší a nahrazuje druhé vydání (ISO/IEC 27001:2013)

Norma ISO/IEC 27001:2022 specifikuje požadavky na sestavení, implementaci, provoz, monitorování, přezkoumání a zlepšování systému managementu informační bezpečnosti. Cílem normy je systematicky zajistit aby nedošlo k narušení informační bezpečnosti organizace a zamezit tak vážným finančním škodám nebo případným obtížím ztráty důvěry organizace.

Jak se očekávalo, text normy byl sladěn s harmonizovanou strukturou norem systému managementu a ISO/IEC 27002:2022.

Revize normy ISO/IEC 27001:2022 se zaměřila hlavně na následující body:

• Organizační opatření
• Personální opatření
• Fyzická opatření
• Technická opatření

Jaký je rozdíl mezi ISO/IEC 27001:2013 a ISO/IEC 27001:2022? Jak postupovat v přechodném období do října 2025 a do kdy platí certifikáty podle normy ISO/IEC 27001:2013? Jak se připravit na certifikaci podle nové normy ISO/IEC 27001:2022?

První změna – norma ISO/IEC 27001:2022 má nový název!

Ve srovnání se starým vydáním se počet kontrol v ISO/IEC 27002:2022 snížil ze 114 kontrol ve 14 oblastech na 93 kontrol ve 4 oblastech. Kromě toho je revidována struktura kontroly, která zavádí „atribut“ a „účel“ pro každou kontrolu a již nepoužívá „objektiv“ pro skupinu kontrol.

Souhrn nejvýznamnějších změn v nové ISO/IEC 27001:2022 – Část 1; Požadavky na systém řízení

Název a pořadí standardních doložek (4-10) zůstávají stejné v souladu s požadavky „10bodové struktury normy“. Bylo však zavedeno několik menších změn, zejména v článcích 4.2, 6.2, 6.3, 8.1 a 9.3.2, kde byly přidány další nové požadavky. Existují i další aktualizace včetně některých změn v přeformulování terminologie.

ISO/IEC 27001:2022 článek 4.2 Pochopení potřeb a očekávání zúčastněných stran

• Doplněno: C) Požadavky zúčastněných stran budou řešeny prostřednictvím systému řízení informační bezpečnosti.

ISO/IEC 27001:2022 článek 6.2 Cíle informační bezpečnosti a plánování jejich dosažení

• Doplněno: Cíle informační bezpečnosti budou d) monitorovány ag) dostupné jako zdokumentované informace.

ISO/IEC 27001:2022 článek 6.3 Plánování změn (nové ustanovení)

• Přidáno nové ustanovení: „ Když organizace určí potřebu změn v systému managementu informační bezpečnosti, změny musí být provedeny plánovaným způsobem. „

ISO/IEC 27001:2022 článek 8.1 Operativní plánování a kontrola

• Přidáno: Stanovení kritérií pro procesy
• Doplněno: Zavedení kontroly procesů v souladu s kritérii
• Pozměněno: Organizace musí zajistit, aby externě poskytované procesy, produkty nebo služby , které jsou relevantní pro systém managementu informační bezpečnosti, byly kontrolovány.
• Slovo “ outsourcované “ bylo nahrazeno výrazem “ poskytované externě“
• K požadavkům byl přidán výraz „Produkty nebo služby“ .

ISO/IEC 27001:2022 článek 9.1 Monitorování, měření, analýza a hodnocení

• Doplněno: Organizace vyhodnotí výkonnost informační bezpečnosti a efektivnost systému řízení informační bezpečnosti.

ISO/IEC 27001:2022 článek 9.3 Přezkum managementem

• Doplněno: (vstup pro přezkum řízením) c) změny v potřebách a očekáváních zúčastněných stran, které jsou relevantní pro systém řízení informační bezpečnosti.

Přehled změn ISO/IEC 27001:2022 – 2. část; Kontrola přílohy A

Podle normy ISO 27002:2022 i norma ISO 27001:2022 uvádí 93 opatření namísto předchozích 114. V nové verzi ISO/IEC 27001:2022 jsou opatření seskupena do 4 kategorií namísto předchozích 14 oblastí. Jsou to

• organizační, 37 opatření,
• Lidé, 8 opatření,
• Fyzické 14 opatření a
• Technologické, 34 opatření

Příloha A nové verze ISO/IEC 27001:2022 nyní obsahuje celkem 93 opatření, z nichž je 11 nových:

Nových je i několik oblastí, pro které se bude vyžadovat řízení a opatření (v případě, že jsou v organizaci aplikovatelné), například:

• Správa hrozeb (Opatření: Informace související s hrozbami informační bezpečnosti by měly být shromažďovány a analyzovány, aby se vytvořila správa hrozeb.)
• Informační bezpečnost při používání cloudových služeb (Opatření: Procesy získávání, používání, správy a ukončení cloudových služeb by měly být vytvořeny v souladu s požadavky organizace na bezpečnost informací.)
• Připravenost ICT na kontinuitu podnikání (Opatření: Připravenost ICT by měla být plánována, implementována, udržována a testována na základě cílů kontinuity podnikání a požadavků na kontinuitu ICT.)
• Monitorování fyzické bezpečnosti (Opatření: Prostory by měly být nepřetržitě monitorovány, aby se předešlo neautorizovanému fyzickému přístupu.)
• Řízení konfigurace (Opatření: Konfigurace, včetně bezpečnostních konfigurací, hardwaru, softwaru, služeb, a sítí, by měly být vytvořeny, zdokumentovány, implementovány, monitorovány a přezkoumávány.)
• Vymazání informace (Opatření: Informace uložené v informačních systémech a zařízeních by měly být vymazány, pokud již nejsou potřebné.)
• Maskování údajů (Opatření: Maskování údajů by se mělo používat v souladu s politikou organizace zaměřenou na řízení přístupu a obchodními požadavky, se zohledněním legislativních požadavků.)
• Prevence úniku údajů (Opatření: Na systémy, sítě a koncová zařízení, která zpracovávají, uchovávají nebo přenášejí citlivé informace, by se měla aplikovat opatření k předcházení úniku údajů.)
• Monitorovací činnosti (Opatření: V sítích, systémech a aplikacích by se mělo monitorovat neobvyklé chování a měla by být přijata vhodná opatření k vyhodnocení potenciálních incidentů bezpečnosti informací.)
• Filtrování webu (Opatření: Přístup k externím webovým stránkám by měl být řízen, aby se snížilo vystavení škodlivému obsahu.)
• Bezpečné kódování (Opatření: Na vývoj softwaru by se měly vztahovat zásady bezpečného kódování.)

Opatření je třeba zvážit ve světle normy ISO 27002:2022, protože každému opatření je přiřazeno pět atributů, které vyžadují přezkoumání různých pohledů a perspektiv pro každý z nich. Těchto pět atributů je:

1. Typ kontroly (preventivní, detektivní, korektivní )
2. Vlastnosti informační bezpečnosti (CIA)
3. Koncepty kybernetické bezpečnosti (identifikovat, chránit, zjišťovat, reagovat a obnovovat)
4. Operační schopnosti
5. Bezpečnostní systémy

Zásady společnosti eucert s.r.o. v přechodném období, plán činností a časové harmonogramy přechodu na ISO/IEC 27001:2022

• Od přijetí normy začalo běžet přechodné období, které končí v říjnu 2025. Certifikace dle ISO/IEC 27001:2013 je platná až do 10/2025.
• Certifikační orgán eucert s.r.o. již aktualizoval svou politiku a postupy, vyškolila zaměstnance a auditory a zavedla své přechodné opatření pro ISO/IEC 27001:2022 s ohledem na požadavky IAF MD 26:2022 – PŘECHODNÉ POŽADAVKY PRO ISO/IEC 27001:2022
• Certifikační orgán eucert s.r.o. požádá v nejbližším akreditačním cyklu o akreditaci pro certifikaci podle požadavků ISO/IEC 27001:2022
• Certifikační orgán eucert s.r.o. předpokládá zahájení certifikace resp. přechod na novou normu po získání nové akreditace pro certifikaci dle požadavků ISO/IEC 27001:2022. Certifikace podle ISO/IEC 27001:2013 a certifikáty vydané podle této normy mají do října 2025 stejnou hodnotu jako certifikace a certifikáty ISO/IEC 27001:2022. Naši klienti se postupně do roku 2025 v klidu mohou připravovat na přechod na požadavky nové normy a po vzájemné dohodě se uskuteční audit během kterého dojde k přechodu.
• Přechodový audit po získání naší nové akreditaci pro certifikaci dle požadavků ISO/IEC 27001:2022 může být proveden během dozorového auditu, recertifikačního auditu nebo prostřednictvím samostatného auditu.
• Všichni klienti s certifikací ISO 27001 musí přejít na novou verzi do 36 měsíců od zveřejnění nové normy ISO 27001 (říjen 2025).
• Všechny certifikáty ISO/IEC 27001:2013 budou odebrány na konci přechodného období, v říjnu 2025.

Jak se připravit na certifikaci podle nové normy ISO/IEC 27001:2022? Kde mohu zakoupit normu ISO/IEC 27001:2022?

• Zakupte si kopii nové normy ISO 27001 a identifikujte organizační mezery, které je třeba vyřešit, abyste splnili nové požadavky ( kopii normy ISO 27001 můžete zakoupit např. zde )
• Vypracujte plán implementace požadavků ISO/IEC 27001:2022
• Aktualizovat prohlášení o použitelnosti ( SoA )
• Zpracujte GAP analýzu
• Proveďte nová nebo pozměněná opatření
• Poskytněte vhodná školení a informace pro všechny zúčastněné strany
• Aktualizovat stávající systém řízení informační bezpečnosti tak, aby splňoval revidované požadavky a poskytoval ověření účinnosti
• Certifikáční orgán eucert s.r.o. bude průběžně zveřejňovat ve svých newslettrech odborné informace týkající se normy ISO/IEC 27001:2022. Spojte se s naší společností v případě jakýchkoli otázek týkajících se přechodného období certifikace podle normy ISO/IEC 27001:2022.