Politika certifikačního orgánu pro přechodové audity ISO/IEC 27001:2022, postup pro klienty při přechodu na nové požadavky

ISO/IEC 27001:2022 „Bezpečnost informací, kybernetická bezpečnost a ochrana soukromí – Systémy řízení bezpečnosti informací – Požadavky“ byla vydána v říjnu 2022 a nahrazuje ISO/IEC 27001:2013 během tříletého přechodného období.

Všechny organizace, které si přejí zůstat certifikovány podle ISO/IEC 27001, budou muset přejít na revizi normy z roku 2022 ve stanoveném přechodném období, které skončí v říjnu 2025.

Cílem certifikačního orgánu eucert je zachovat jasný přechodový přístup, který je pro naše klienty snadno pochopitelný a aplikovatelný. Naším cílem je poskytnout organizacím pokyny a nástroje, aby přechod z ISO/IEC 27001:2013 na ISO/IEC 27001:2022 byl co nejhladší.

Obě verze normy ISO/IEC 27001 zůstávají v platnosti a audity na kteroukoli verzi normy mohou být prováděny v souladu s pravidly uvedenými níže, ale měly by být vytvořeny plány, aby přechod organizace v plném rozsahu proběhl před koncem přechodného období (říjen 2025).

Podrobné přechodné období

• 25. října 2022 –  ISO/IEC 27001:2022 3. vydání – Datum vydání
• 31. října 2022 –  začíná přechodné období
• eucert s.r.o. poskytne přechodové audity nebo počáteční audity podle ISO 27001:2022 po požadovaném posouzení akreditačním orgánem, což se očekává od 3. čtvrtletí 2023.
• Stávající certifikovaná organizace naplánuje přechodový audit, aby zajistila vydání revidovaného certifikátu před koncem přechodného období.
• 1. května 2024 – všechny počáteční (nové) certifikace by po tomto datu měly být podle vydání ISO/IEC 27001:2022 a pro všechny recertifikační audity se po tomto datu doporučuje používat vydání ISO 27001:2022.
• 31. července 2025 – všechny přechodové audity by měly být provedeny do tohoto data.
• 31. října 2025 – Přechodné období končí
  Certifikáty pro ISO/IEC 27001:2013 již po tomto datu nebudou platné.

Hlavní změny ISO/IEC 27001:2022

ISO/IEC 27001:2022 reviduje druhé vydání téže mezinárodní normy, která byla publikována v roce 2013. Její text byl změněn tak, aby byl v souladu s harmonizovanou strukturou norem systému managementu vydávaných organizací ISO.

Změny v těle normy ISO/IEC 27001 byly provedeny za účelem lepšího souladu s harmonizovanou strukturou norem systému managementu (tj. příloha SL).

Celkově zůstává záměr normy stejný, přičemž základní základní aspekty řízení rizik zůstávají nezměněny. Na základě přístupu založeného na riziku norma chrání důvěrnost, integritu a dostupnost informačních aktiv

Příloha A ISO/IEC 27001:2022 zaznamenala největší změnu. Aktualizovaná verze přílohy A ISO/IEC 27001:2022 byla kompletně předělána a revidována. V důsledku toho se počet kontrol v nové verzi ISO/IEC 27001:2022 snížil ze 114 na 93. Kromě toho jsou nyní tyto bezpečnostní kontroly rozděleny do čtyř sekcí namísto předchozích 14.

Kromě toho tato změna představuje hmatatelný pokus učinit normu ISO/IEC 27001:2022 stručnější a jednodušší k implementaci. Přesahy a opakování byly odstraněny, aby se vytvořilo pět hlavních bezpečnostních atributů, které usnadňují jejich seskupování.

Změny v příloze A odrážejí změny provedené v nové normě ISO 27002:2022 zveřejněné v únoru 2022, která je doplňkovou normou pro provádění normy ISO 27001. Mezi klíčové změny patří následující:

• Ovládací prvky jsou přeskupeny do čtyř oblastí – Organizační, Lidé, Fyzikální a Technologické namísto předchozích 14.
  • Část 5: Organizační (37 ovládacích prvků)
  • Část 6: Lidé (8 ovládacích prvků)
  • Část 7: Fyzické (14 ovládacích prvků)
  • Část 8: Technologické (34 ovládacích prvků)
• Celkový počet kontrol se snížil ze 114 na 93 .
  Nebyly vyloučeny žádné kontroly, některé se sloučily kvůli racionalizaci a účinnosti. Proto snížení počtu ovládacích prvků.
  • 57 kontrol bylo sloučeno do 24 kontrol.
  • 35 kontrol zůstalo stejných se změnou čísla kontroly.
  • 23 ovládacích prvků bylo přejmenováno.
  • Jen jedna kontrola byla rozdělena, Kontrola 18.2.3 Kontrola technické shody:
    • 5.3.6 – Soulad s politikami, pravidly a standardy pro informační bezpečnost.
    • 8.8 – Řízení technických zranitelností
• Byl zaveden koncept atributů.
• Přibylo 11 nových bezpečnostních kontrol.

Více o změnách v normě ISO/IEC 27001:2022 si můžete přečíst v našem článku

ISO/IEC 27001:2022 Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí. Systémy managementu informační bezpečnosti. Požadavky

Přechodové audity ISO/IEC 27001:2022 – politika certifikačního orgánu eucert

Certifikační orgán eucert přijal následující politiku k přechodovým auditům u společnosti, které jsou úspěšným držitelem certifikátů dle požadavků normy ISO/IEC 27001:2013:

1. Přechodový audit budeme provadet ve spojení s dozorovým auditem, recertifikačním auditem nebo prostřednictvím samostatného auditu.
2. Přechodový audit se nesmí spoléhat pouze na přezkum dokumentů, zejména pokud jde o přezkum technologických opatření.
3. Přechodový audit zahrnuje mimo jiné:
   • GAP rozdílovou analýzu normy ISO/IEC 27001: 2022, jakož i potřebu změn klientů ISMS;
   • Aktualizaci prohlášení o aplikovatelnosti (SoA);
   • V případě potřeby aktualizaci plánu zacházení s rizikem;
   • Implementaci a účinnost nových nebo změněných opatření, která si vybrali klienti.

Certifikační orgán eucert může provádět přechodový audit na dálku, pokud zajistí splnění cílů přechodového auditu.

Audit zahrnuje minimálně dodatečný 0,5 denní auditodeň pro potvrzení přechodu certifikovaných klientů, když se přechod provádí během auditu v rámci dozoru nebo jako samostatný audit.

Certifikační orgán eucert  může definovat harmonogram předkládání žádosti opřechod certifikovanými klienty vprogramu auditu přechodu.

Certifikační orgán eucert přijme rozhodnutí o přechodu na základě výsledku přechodového auditu.

Certifikační orgán eucert aktualizuje certifikační dokumenty certifikovaného klienta, pokud jeho ISMS splňuje požadavky normy ISO/IEC 27001:2022. Když se aktualizuje certifikační dokument, protože klient úspěšně absolvoval pouze přechodový audit, vypršení jeho aktuálního certifikačního cyklu se nezmění

Platnost všech certifikací podle normy ISO/IEC 27001: 2013 uplyne nebo se odebere na konci přechodového období.

Jak se připravit na certifikaci podle nové normy ISO/IEC 27001:2022? Kde mohu zakoupit normu ISO/IEC 27001:2022?

• Zakupte si kopii nové normy ISO/IEC 27001:2022 a identifikujte organizační mezery, které je třeba vyřešit, abyste splnili nové požadavky ( kopii normy ISO 27001 můžete zakoupit např. zde )
• Vypracujte plán implementace požadavků ISO/IEC 27001:2022
• Aktualizujte své prohlášení o použitelnosti ( SoA ), aby bylo v souladu s aktualizovanou přílohou A ISO/IEC 27001:2022
• Proveďte posouzení nedostatků v porovnání s novým standardem, abyste dosáhli souladu s novými požadavky ISO/IEC 27001:2022 (GAP analýza)
• Proveďte nová nebo pozměněná opatření
• Poskytněte vhodná školení a informace pro všechny zúčastněné strany
• Aktualizovat stávající systém řízení informační bezpečnosti tak, aby splňoval revidované požadavky a poskytoval ověření účinnosti. Prohlédněte si a aktualizujte svou dokumentaci včetně zásad a postupů, abyste splnili aktualizaci i nové ovládací prvky platné pro váš ISMS
• Certifikáční orgán eucert s.r.o. bude průběžně zveřejňovat ve svých newslettrech odborné informace týkající se normy ISO/IEC 27001:2022.

Spojte se s naší společností v případě jakýchkoli otázek týkajících se přechodného období certifikace podle normy ISO/IEC 27001:2022.

Více informací se dozvíte z našich newsletrů resp. prosíme přímo kontaktujte náš certifikační orgán. Odpovědný manažer Vám poskytne obratem komplexní informace o přechodovém auditu Vaší společnosti , případně zodpoví Vaše konkrétní dotazy týkající se požadavků a certifikačního procesu požadavků nové normy ISO/IEC 27001:2022