V říjnu 2022 vyšla nová verze normy ISO/IEC 27001:2022

10.01.2023

CERTIFIKACE SYSTÉMŮ MANAGEMENTU

ISO/IEC 27001:2022 Systém managementu bezpečnosti informací

10/2022 TBS 2023 2023 - 2024 - 2025 31.10.2025
Vydání normy ISO/IEC 27001 v anglickém jazyce
Vydání normy ISO/IEC 27001 v českém jazyce
Akreditace EZÚ na novou normu
Provádění dozorových a recertifikačních auditů podle nové normy
Konec platnosti všech certifikátů podle staré normy

Každá revize norem řady ISO má stanovené přechodové období. Jednotlivé organizace – certifikační orgány a samozřejmě i certifikované organizace – mají určitý čas na implementaci změn. 

Pro tuto normu bylo stanoveno tříleté přechodové období do 31. 10. 2025. Pro novelu ISO/IEC 27001 je tedy přechodové období následující: 

  • Již certifikované organizace: o Od 01. 11. 2025 se všechny audity budou provádět pouze podle nové normy, certifikáty dle ISO/IEC 27001:2013 již po tomto datu nebudou platné, k tomuto datu musí v rámci plánovaných auditů dojít k přechodu na novou verzi normy ISO/IEC 27001:2022. Pro všechny certifikované organizace jsme povinni přidat k auditnímu času minimálně 0,5 auditního dne na prověření aplikace změn ISO/IEC 27001:2022 
  • Nově certifikované organizace: 
    • Od 01. 01. 2024 se všechny certifikační audity budou provádět pouze podle nové normy 

Audity lze podle nové normy provádět již nyní. Český překlad normy – ČSN EN ISO/IEC 27001 nebyl zatím publikován. Audity je možné provádět podle anglického originálu normy zatím neakreditovaně a po získání akreditace od Českého institutu pro akreditaci, o.p.s. Vám certifikáty aktualizujeme s odkazem na akreditaci. 

Proč se norma ISO/IEC 27001 mění? 

  • Přizpůsobují se měnícímu se světu (současné potřeby, technologie, globalizace) 
  • Odráží potřeby všech uživatelů a zúčastněných stran 

Jaké jsou změny v normě ISO/IEC 27001:2022? 

  • V článku 6.1.3 jsou provedeny pouze redakční úpravy 
  • Příloha A se odkazuje na opatření uvedená v normě ISO/IEC 27002:2022 

Ve srovnání se starým vydáním se počet opatření v ISO/IEC 27002:2022 snižuje ze 114 opatření ve 14 článcích na 93 opatření ve 4 doménách. U opatření v ISO/IEC 27002:2022 je 11 opatření nových, 24 opatření je sloučeno ze stávajících opatření a 58 opatření je aktualizováno. Kromě toho je revidována struktura opatření, která zavádí „atribut“ a „účel“ pro každé opatření a již nepoužívá „cíl“ pro skupinu opatření. 

Jak tedy postupovat? 

Následující kroky by Vám mohly pomoci při přechodu na nové vydání normy: 

1. Zakoupit ISO/IEC 27002:2022 a ISO/IEC 27001:2022 

2. Seznámit se s novými opatřeními a definicemi, jako např. primární aktiva, RTO, RPO atd. 

3. Provést analýzu rizik s ohledem na nová opatření a nové rozdělení aktiv 

(pro analýzu a hodnocení rizik je vhodné vycházet z nové normy ISO/IEC 27005:2022) 

4. Realizovat opatření z analýzy rizik, implementovat je do procesů ISMS 

5. Implementovat nová opatření do provozní dokumentace 

6. Aktualizovat Prohlášení o aplikovatelnosti (PoA) 

7. Provést interní audit s ohledem na nová opatření 

8. Provést přezkoumání managementu 

Na co se zaměří certifikační orgán během auditů navíc? 

  • Analýzu dopadu normy ISO/IEC 27001:2022 a ISO/IEC 27002:2022 na potřebu změn ve Vašem systému managementu bezpečnosti informací 
  • Přezkoumání organizačních, lidských, technických a fyzických opatření navazujících na ISO/IEC 27002:2022 
  • Aktualizaci Prohlášení o aplikovatelnosti 
  • Implementaci a účinnost nových nebo změněných činností a postupů ve Vaší organizaci 

Náš personál a auditoři jsou Vám k dispozici ke sdílení informací týkajících se výkladu nové normy a aplikací změn s tím spojených. 

Věříme, že Vám změny pomohou zlepšit nastavené procesy i celý systém managementu ve Vaší organizaci. 

Ing. Radek Teufl 

vedoucí certifikačního orgánu ezú