Dovoľujeme si Vám dať do pozornosti, že dňa 25. októbra 2022 vyšla nová norma ISO/IEC 27001:2022.

Nová ISO/IEC 27001:2022 prináša určité zmeny, zamerané okrem iného na zosúladenie s ostatnými normami pre manažérske systémy.

Rozsiahlou úpravou prešla jej príloha A, vrátane štruktúry a obsahu bezpečnostných opatrení, pričom príloha A sa odkazuje na opatrenia v ISO/IEC 27002:2022.

Niektoré bezpečnostné opatrenia boli zrušené a boli niektoré zavedené nové opatrenia

Opatrenia sa vo všeobecnosti zlúčili do 4 skupín:

1. Organizačné opatrenia
2. Personálne opatrenia
3. Fyzické opatrenia
4. Technologické opatrenia

Prednosťou implementácie bezpečnostných opatrení v novej verzii je, že nakoľko sú po novom identifikovateľné podľa atribútov, bude sa jednoduchšie možné zamerať na konkrétny výber daných bezpečnostných opatrení. Toto by mohlo pomôcť znížiť záťaž súvisiacu s dodržiavaním súladu a/alebo pomôcť zistiť, ako lepšie integrovať dané bezpečnostné procesy.

V súčasnosti je k dispozícii len anglická verzia normy ISO/IEC 27001:2022 na stránkach iso.org., jazykové mutácie vyjdú, prirodzene neskôr.

Ako pri iných revíziach ISO noriem začne plynúť prechodné obdobie, ktoré bude končiť 31.10.2025.

Počas tohto obdobia bude sa bude požadovať od certifikovaných spoločností implementácia nových požiadaviek.

Od 1.11.2025 sa akékoľvek audity  budú vykonávať už len podľa požiadaviek novej normy ISO/IEC 27001:2022, pričom certifikácie podľa ISO/IEC 27001:2013 sa stanú neplatnými.

Od mája 2024 budú môcť byť certifikačné a recertifikačné audity ISMS vykonávané už len podľa požiadaviek novej normy ISO/IEC 27001:2022 (dozorné audity počas prechodného obdobia budú môcť byť vykonávané ešte podľa požiadaviek ISO/IEC 27001:2013)

Dôležité informácie pre certifikované subjekty a žiadateľov o certifikáciu:

Do konca prechodného obdobia t.j. do 31.10.2025 je relatívne dosť času. Prechodné obdobie je stanovené na 3 roky najmä za tým účelom, aby sa všetci mohli na zmeny pripraviť a zapracovať ich do svojho systému.

Postupnosť krokov u certifikovaných subjektov pri prechode z normy ISO/IEC 27001:2013 na ISO/IEC 27001:2022:

• GAP rozdielová analýza v oblasti plnenia potrieb a požiadaviek novej normy.
• Špecifikácia nástrojov, metód a postupov vhodných pre efektívny prechod na novú normu.
• Príprava a zabezpečenie školenia personálu na získanie potrebných znalostí a vedomostí.
• Implementácia zmien do manažérskych systémov, do dokumentácie a do praxe
• Vykonanie kontroly dodržiavania zásad potrebných pre získanie certifikácie podľa novej normy.
• Oznámenie certifikačnému orgánu, či je subjekt pripravený na audit podľa požiadaviek novej normy (min 4 týždne pred plánovaným termínom auditu).
Certifikačný orgán CERTICOM bude vykonávať audity podľa novej normy ISO/IEC 27001:2022 na základe žiadosti certifikovaného subjektu/nového žiadateľa najskôr po získaní akreditačného osvedčenia. O uvedenej skutočnosti Vás budeme bezodkladne informovať, pričom plánovaný termín je najneskôr do 31.10.2023.

Prechod na novú normu ISO/IEC 27001:2022 je možné vykonať :

• v rámci novej certifikácie (predpoklad je v termíne od 01.11.2023)
• v rámci dozorného a recertifikačného auditu, kedy bude k stanovenému rozsahu auditu pridaný minimálne 0,5 dňa na preverenie prechodu
• v rámci osobitného mimoriadneho prechodového auditu v rozsahu minimálne 0,5 dňa.

Poznámka: Ak žiadateľ absolvuje iba prechodový audit, platnosť jeho certifikátu zostane rovnaká.

Prechodové audity budú zamerané okrem iného predovšetkým na:

• nové požiadavky ISO/IEC 27001:2022
• aktualizáciu SoA
• aktualizáciu plánov zaobchádzania s rizikami v prípade potreby
• implementáciu a účinnosť nových/zmenených opatrení

Certifikačný orgán CERTICOM bude vykonávať aj školenia k revíziu normy, pričom prvé takéto školenie sa konalo prezenčne v dňoch 29-30.marec 2023, v Hoteli Termál Vyhne, bližšie informácie nájdete tu Školenia

V prípade záujmu o školenie alebo potreby vysvetlenia akýchkoľvek informácií v súvislosti s prechodom na novú normu ISO/IEC 27001:2022 nás prosím kontaktujte.