Nowe wydanie normy ISO 27001
Pod koniec października 2022 roku zostało opublikowane nowe wydanie normy ISO 27001, która odnosi się do wymagań Systemu Zarządzania Bezpieczeństwem Informacji. Norma ta musiała zostać zaktualizowana, gdyż jej poprzednia wersja pochodziła z września 2013 roku. Bardzo wiele w tym czasie się zmieniło, przede wszystkim w kontekście systemów informatycznych stosowanych przez różnego rodzaju organizacje.
Co dokładnie się zmienia?
Bardzo ważną informacją jest fakt, że zaktualizowana norma 27001 nie wprowadza drastycznych zmian w porównaniu z obecnie obowiązującymi standardami. Oznacza to, że organizacje, które wdrożyły i stosują wymagania ISO 27001:2013 nie będą zmuszone do przeprowadzenia rewolucji, aby dostosować swoje systemy do nowego wydania normy.
Najważniejszą zmianą, jaka została wprowadzona jest zmiana wykazu zabezpieczeń przedstawionych w normatywnym załączniku A do normy. Powoduje to, że aktualnie ilość obligatoryjnych do wdrożenia zabezpieczeń wynosi 93, a nie tak jak w poprzednim wydaniu, 114. Nie oznacza to jednak mniejszej ilości działań. Zabezpieczenia te zostały pogrupowane, a niektóre scalone, stąd mniejsza liczba zabezpieczeń.
Zabezpieczenia, o których mowa w uaktualnionej wersji normy ISO 27001 dotyczą aspektów, takich jak na przykład analiza zagrożeń, monitorowanie bezpieczeństwa fizycznego, usuwanie informacji, maskowanie danych, bezpieczne kodowanie czy też filtrowanie sieci. Aby spełnić przyjęte wymagania konieczne jest przeprowadzenie szczegółowego audytu przez jednostkę certyfikującą.
Do kiedy organizacje muszą przejść na nowe wydanie normy?
Przejście wszystkich organizacji certyfikowanych na nowe wytyczne musi nastąpić najpóźniej w ciągu 36 miesięcy licząc od ostatniego dnia października 2022 roku. Oznacza to, że nowa norma powinna być wdrożona najpóźniej do 31 października 2025 roku. Certyfikacje na zgodność z nową normą ISO 27001:2022 muszą zostać uruchomione przez jednostki certyfikujące najpóźniej do końca października 2023 roku.