Преход към ISO 27001:2022

РЪКОВОДСТВО ЗА ПРЕХОД КЪМ ИЗИСКВАНИЯТА НА ISO 27001:2022


ISO 27001:2022 „Информационна сигурност, киберсигурност и защита на поверителността — Системи за управление на информационната сигурност — Изисквания“ беше пуснат през октомври 2022 г. и заменя ISO/IEC 27001:2013 чрез тригодишен преходен период. Всички организации, които желаят да останат сертифицирани по ISO 27001, ще трябва да преминат към ревизията на стандарта от 2022 г. в рамките на определения преходен период, който приключва през октомври 2025 г.

Целта на ИСКС е да поддържа ясен подход за преход към изискванията на новата версия на стандарта ISO/IEC 27001:2022, който е лесен за разбиране и прилагане от нашите клиенти. Нашата цел е да предоставим на организациите насоки и инструменти, за да направят прехода от ISO 27001:2013 към ISO 27001:2022 възможно най-плавен.

И двете версии на стандарта ISO 27001 остават валидни и одитите на всяка версия на стандарта могат да се провеждат при спазване на правилата, посочени по-долу, но трябва да се направят планове за пълното преминаване на организацията преди края на преходния период.

Подробен преходен период

  • 25 октомври 2022 г - ISO/IEC 27001:2022 3-то издание - Дата на издаване
  • 31 октомври 2022 г. - Започва преходен период
  • 1 май 2024 г. - Всички първоначални (нови) сертификати трябва да бъдат по изданието на ISO 27001:2022 след тази дата и всички ресертификационни одити се препоръчват да използват изданието на ISO 27001:2022 след тази дата. ИСКС ще продължи да приема заявления за сертифициране и да издава нови сертификати по стандарта ISO 27001:2013 до тази дата.
  • 31 юли 2025 г. – Всички преходни одити трябва да се извършат до тази дата.
  • 31 октомври 2025 г. - Преходният период приключва
Сертификатите за ISO/IEC 27001:2013 вече няма да са валидни след тази дата.

ISO 27001:2022 Анализ на промените

Бяха направени промени в основната част на стандарта ISO 27001, за да се приведе в съответствие с хармонизираната структура на стандартите за системи за управление ( т.е. приложение SL).

Трябва да се отбележи, че са направени промени в следните изисквания:

  • Разбиране на нуждите и очакванията на заинтересованите страни
  • Система за управление на информационната сигурност
  • Цели на информационната сигурност и планиране за постигането им
  • Планиране на промените
  • Мониторинг, измерване, анализ и оценка
  • Входящи данни от прегледа на ръководството
  • Контролите в приложение А са прегрупирани от 14 контролни цели в 4 широки теми, които включват: Организационни, Човешки, Физически и Технологични контроли
  • Общият брой на контролите в приложение А възлиза на 93 контроли в сравнение със 114 контроли в предишното издание
  • Някои контроли бяха консолидирани в по-широки нови контроли, както и 11 нови контроли са добавени, включително:
    • Разузнаване на заплахите
    • Информационна сигурност за използване на облачни услуги
    • Мониторинг на физическата сигурност
    • Управление на конфигурацията
    • Изтриване на информация
    • Маскиране на данни
    • Предотвратяване на изтичане на данни
    • Уеб филтриране
    • Сигурно кодиране
  • В допълнение, ISO 27002:2022 идентифицира 5 контролни атрибута за различни категории контроли, атрибутите включват:
    • Тип контрол
    • Свойства на информационната сигурност
    • Концепции за киберсигурност
    • Оперативни способности
    • Защитени домейни
  • ISO 27002:2022 също така определя цел за всеки отделен контрол, за да обясни по-добре намерението на всеки контрол.

За да сте сигурни, че стъпките, които сте предприели са успешни при прехода към новата версия на стандарта, ИС Консулт Сървис Ви препоръчва следните стъпки:

Подготовка за вашия преход към ISO 27001

  • Организациите трябва да прехвърлят своята система за управление в съответствие с изискванията на ISO 27001:2022, преди да бъде извършен техният преходен одит. Това трябва да включва всякакви промени в документацията, заедно с доказателства за нови или променени изисквания към процеса.
  • Трябва да се отбележи, че организациите трябва да извършат вътрешен одит и преглед от ръководството на новите/променените изисквания преди извършването на преходния одит.
  • Организациите може да имат оценка на пропуските в прехода преди официалния си одит на прехода. Това може да се извърши във връзка с по-ранен надзор по ISO 27001:2013 или по всяко друго самостоятелно време преди техния преходен одит.

Вашият одит на преход към ISO 27001

  • Всички организации трябва да имат преходен одит, за да потвърдят прилагането на ревизирания стандарт. Преходният одит може да се проведе във връзка със съществуващ одит или може да бъде самостоятелен одит.
  • Ако преходният одит се провежда във връзка със съществуващ надзор ( т.е. наблюдение на преход) или одит за повторно сертифициране (т.е. повторна оценка на прехода), към продължителността на одита може да се добави допълнително време, за да се покрият новите изисквания/концепции, въведени от ISO 27001:2022 г.
  • Ако се извършва самостоятелен одит като преходен одит, продължителността се изчислява на базата на индивидуална организация.

Забележка: Конкретните продължителности на одита за преход ще зависят от действителната ситуация на организацията, включително размера на организацията и сложността на СУИС. Ако имате нужда ИСКС, ще ви консултира за вашата конкретна продължителност на одита на преход.

Ревизирани сертификати ISO 27001:2022

  • Както при всеки одит, несъответствията, идентифицирани по време на преходен одит, ще изискват представяне и одобрение на коригиращо действие. След одобрение на коригиращо действие ще бъде издаден актуализиран сертификат по ISO 27001:2022.
  • Издаването и валидността на актуализирания сертификат ISO 27001:2022 ще бъде както следва:
    • Наблюдение на прехода – съществуващото „Валидно до дата“ на организацията ще бъде запазено.
    • Повторна оценка на прехода – Ще бъде издаден нов „Валиден до дата“ за подновения 3-годишен период.
    • Самостоятелен преход – съществуващото „Валидно до дата“ на организацията ще бъде запазено.

Допълнителна поддръжка

Екипът на ИС Консулт Сървис е тук, за да ви подкрепя по време на процеса на преход. Ако имате въпроси или се нуждаете от помощ, можем да ви подкрепим с:

  • Технически анализ и насоки. ИС Консулт Сървис ще предостави различно допълнително съдържание през следващите месеци; моля, проверете уебсайта ни и попълнете формата за контакт, за да седнем заедно и да се потопим в уникалния ви случай.
  • Предварителна оценка/Анализ на пропуските. ИС Консулт Сървис може да предостави предварителна оценка или анализ на пропуските на вашия преработен СУИС, за да определи нивото на съответствие на вашия СУИС с изискванията на ISO 27001:2022.

Ако имате въпроси или се нуждаете от подкрепа по време на вашия преход, моля, свържете се нас .