Nowe wydanie normy ISO /IEC 27001:2022 (2022-10-26)

W dniu wczorajszym (25.10.2022 r.), ISO czyli Międzynarodowa Organizacja Normalizacyjna publikowała najnowsze wydanie normy ISO/IEC 27001 określającej wymagania dla Systemu Zarządzania Bezpieczeństwem Informacji. Publikacja nowego wydania standardu nastąpiło po ponad 9 latach (dokładnie: 9 lat + miesiąc) od publikacji jej wcześniejszej wersji (ISO/IEC 27001:2013).

Jakie wprowadzono zmiany w ISO /IEC 27001:2022?

W najnowszym wydaniu normy nie wprowadzono bardzo istotnych zmian, jeśli chodzi o wymagania w odniesieniu do Systemu Zarządzania Bezpieczeństwem Informacji. Oznacza to, że organizacje, które wdrożyły i stosują ISMS (SZBI) zgodny z wymaganiami ISO/IEC 27001:2013 (+ 2 poprawki) nie będą zmuszone do przeprowadzenia rewolucji, aby dostosować swoje systemy do nowego wydania normy. Najistotniejsza zmianą jaka została wprowadzona jest zmiana wykazu zabezpieczeń przedstawionych w normatywnym załączniku A do normy. Aktualnie wykaz przedstawiony w Załączniku A do ISO /IEC 27001:2022 jest zgodny z wykazem zabezpieczeń przedstawionym w ISO /IEC 27002:2022, która to norma została opublikowana 15 lutego 2022 roku. Oznacza to, że aktualnie ilość obligatoryjnych do wdrożenia zabezpieczeń (zakładając, że wszystkie mają zastosowanie w danej organizacji) wynosi 93 w miejsce wcześniejszych 114. Nie oznacza to jednak mniejszej ilości działań do wdrożenia i środków do zastosowania. Zabezpieczenia te, z którymi mieliśmy do tej pory do czynienia zostały pogrupowane i przegrupowane. W sumie 24 zabezpieczenia przedstawione w ISO/IEC 27001:2013 zostały scalone a 58 zostało zaktualizowanych. Dodatkowo pojawiło się 11 nowych zabezpieczeń, które nie miały swoich jednoznacznych odpowiedników we wcześniejszej wersji normy. Część z nich ze względu na inne zabezpieczenia lub wyniki oceny ryzyka bezpieczeństwa informacji była stosowana przez znaczną część organizacji jednak są również takie na których wdrożenie i stosowanie nacisk został położony po raz pierwszy.

Szczegółowe przedstawienie zmian wraz z ich wpływem na wdrożone i funkcjonujące systemy zarządzania bezpieczeństwem informacji zostaną przedstawione w artykule, który niedługo zostanie opublikowany w zakładce: Artykuły i informacje.

Z może mniej istotnych szczegółów dla funkcjonujących systemów zarządzania bezpieczeństwem informacji, jednakże ciekawych, warto zwrócić uwagę na to, że zmianie uległ tytuł normy. Tytuł normy ISO /IEC 27001:2013: Information technology — Security techniques — Information security management systems — Requirements (Technika informatyczna — Techniki bezpieczeństwa — Systemy zarządzania bezpieczeństwem informacji – Wymagania), został zmieniony w ISO /IEC 27001:2022 na ISO/IEC 27001:2022
Information security, cybersecurity and privacy protection — Information security management systems — Requirements (Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności — Systemy zarządzania bezpieczeństwem informacji — Wymagania).
Mając na uwadze aktualny tytuł normy ISO/IEC 27002 wnioskować można, że standardy z rodziny Information technology (Technika Informatyczna) będą przemianowywane stopniowo na standardy z serii: Information security, cybersecurity and privacy protection (Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności). Zmiana niby bez większego znaczenia jednak w sposób bardziej jednoznaczny przedstawia na jakie zagadnienia norma jest ukierunkowana.

Do kiedy certyfikowane organizacje są zobowiązane do przejścia na nową normę ISO /IEC 27001:2022?

Informacje odnośnie wymaganych terminów w odniesieniu do jednostek akredytujących oraz certyfikujących podała już 9 sierpnia 2022 roku na swojej stronie The International Accreditation Forum (IAF) czyli stowarzyszenie jednostek akredytujących i innych jednostek zainteresowanych oceną zgodności w dziedzinie systemów zarządzania, produktów, procesów, usług, personelu, walidacji i weryfikacji oraz innych podobnych programów oceny zgodności.

1. Przejście wszystkich organizacji certyfikowanych przez jednostki w ramach akredytowanego procesu certyfikacji musi nastąpić najpóźniej w ciągu 36 miesięcy licząc od ostatniego dnia października 2022 roku (czyli ostatniego dnia miesiąca, w którym opublikowane zostało nowe wydanie ISO /IEC 27001:2022).

2. Certyfikacje na zgodność z nową normą ISO /IEC 27001:2022 muszą zostać uruchomione przez jednostki certyfikujące najpóźniej w ciągu 12 miesięcy licząc od ostatniego dnia października 2022 r. tj. do końca października 2023 roku.

Ciekawą informację przedstawiła w ramach webinarium zorganizowanego w dniu 4 października 2022r. jednostka BSI. Z przedstawionych przez nich informacji wynika, że możliwa data pierwszych certyfikacji na zgodność z wymaganiami nowej normy to listopad 2022r. Jest to jednak w mojej ocenie tylko teoretyczna możliwość, a rzeczywista wynikała będzie z szybkości działań realizowanych w celu przygotowania do tych certyfikacji przez jednostki certyfikujące oraz nadzorujące je jednostki akredytujące. Historia np. z przejściem na ISO 9001:2015 pokazuje bowiem, że jednostki posiadające akredytacje zagraniczne zapewne szybciej osiągną gotowość do przeprowadzania tych audytów niż jednostki posiadające akredytację PCA.

Jakie są podstawowe zasady audytu przejścia na ISO /IEC 27001:2022

Audyt przejścia na nową normę może zostać przeprowadzony przez jednostkę certyfikującą w ramach audytu nadzoru, audytu re-certyfikującego lub w formie dodatkowego audytu. Jednakże, zgodnie z informacjami przedstawionymi powyżej z dniem 01.11.2025 wygasną lub zostaną wycofane wszystkie certyfikaty wystawione przez akredytowane jednostki certyfikujące potwierdzające zgodność systemów zarządzania bezpieczeństwem informacji z normą ISO/IEC 27001:2013. Zgodnie z wymaganiami IAF, do normalnego czasu trwania audytu w ramach którego przeprowadzana będzie weryfikacja zgodności z wymaganiami nowego standardu (audyt przejścia) jednostka certyfikująca będzie zobowiązana do doliczenia dodatkowego czasu audytu w wymiarze minimum 0,5 roboczo dnia (audytoro dnia).

Przydatne linki

Dla zainteresowanych chcących bardziej zgłębić temat, poniżej przedstawione zostały przydatne linki:

1. Informacje o normie ISO/IEC 27001:2022 oraz możliwość zakupu normy w sklepie ISO
   ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements: LINK
   Na dzień publikacji niniejszej informacji, brak jest jeszcze możliwości zakupu normy w sklepie Polskiego Komitetu Normalizacji (PKN).

2. Informacje o normie ISO/IEC 27002:2022 oraz możliwość zakupu normy w sklepie ISO
   ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls: LINK
   Na dzień publikacji niniejszej informacji, brak jest jeszcze możliwości zakupu normy w sklepie Polskiego Komitetu Normalizacji (PKN).

3. Wytyczne IAF dotyczące zasad oraz okresu przejściowego
   Transition Requirements For ISO/IEC 27001:2022 (issue 1, IAF MD 26:2022) – LINK (pdf)

4. Informacje o terminach dotyczących przejścia organizacji na nową normę ISO /IEC 27001:2022 przedstawione przez BSI w ramach zorganizowanego w dniu 04.10.2022r. webinarium. Dostęp do prezentacji z webinarium na stronie BSI: LINK

Zapraszamy do korzystania z naszych usług w zakresie systemów bezpieczeństwa informacji ISO 27001:

• Kompleksowe wdrażanie wymagań ISO 27001

• Doskonalenie systemów zarządzania w oparciu o dobre praktyki i wytyczne przedstawione w ISO/IEC 27002

• Szkolenia tematyczne z zakresu systemów bezpieczeństwa informacji ISO 27001

Zapraszamy do kontaktu wszystkich zainteresowanych wsparciem dotyczącym systemów zarządzania bezpieczeństwem informacji ISO 27001: KONTAKT