Vydání nové verze normy ISO/IEC 27001:2022

Vydání nové verze normy ISO/IEC 27001:2022

 

Dne 25.10.2022 byla publikována nová verze normy ISO/IEC 27001:2022, která nahradila normu ISO/IEC 27001:2013. Certifikační orgány mohou žádat akreditační orgán o rozšíření rozsahu akreditace o tuto normu od 1.4.2023.

Počáteční certifikace/recertifikace prováděné certifikačními orgány podle ISO/IEC 27001:2022 by měly začít nejpozději do 18 měsíců od posledního dne měsíce zveřejnění normy (tj. do 30.4.2024).

Přechody stávající certifikace na novou verzi normy musí být dokončeny do 36 měsíců od posledního dne měsíce zveřejnění normy (tj. do 31.10.2025).

Certifikační orgán CERTLINE bude provádět audity za účelem přechodu na novou verzi normy přednostně jako součást opakované certifikace nebo ve pojení s dozorovým auditem. Klient může také požádat o mimořádný dozorový audit.

Navýšení času auditu u klientů za účelem posouzení plnění požadavků normy ISO/IEC 27001:2022 bude představovat nejméně 0,5 auditodne.

Pokud klient v rámci auditu úspěšně prokáže splnění požadavků ISO/IEC 27001:2022 Certifikační orgán CERTLINE provede aktualizaci jeho certifikátu formou změnového řízení. Certifikační cyklus se klientovi nezmění.

Všechny certifikace založené na normě ISO/IEC 27001:2013 budou platné max. do konce přechodového období.

 

Hlavní změny:

 

  • Normativní Příloha A se odkazuje na opatření uvedená v ISO/IEC 27002:2022 a zahrnuje informace o názvu opatření a jednotlivá opatření
  • Poznámky v článku 6.1.3 c) jsou redakčně revidovány, zahrnující vymazání výrazu „cíle opatření“ a použití výrazu „kontrola bezpečnosti informací“ místo „opatření“
  • Znění článku 6.1.3 d) je upraveno tak, aby byl odstraněn potenciál dvojznačnosti

Ve srovnání se starým vydáním se počet opatření v ISO/IEC 27002:2022 snižuje ze 114 opatření ve 14 kapitolách na 93 opatření ve 4 kapitolách.

V ISO/IEC 27002:2022 je 11 nových opatření, 24 opatření je sloučeno ze stávajících opatření a 58 opatření je aktualizováno. Navíc je revidována struktura opatření, která zavádí „atribut“ a „účel“ pro každé opatření a již nepoužívá „cíle opatření“ pro skupinu opatření.

Audit přechodu na novou verzi normy bude především zahrnovat (ale není omezen na následující):

  • přezkoumání rozdílové analýza vypracované klientem a implementace změn vyplývajících z požadavků ISO/IEC 27001:2022,
  • přezkoumání aktualizace prohlášení o aplikovatelnosti (POA),
  • kontrola aktualizace posouzení rizik bezpečnosti informací a jejich ošetření,
  • zavedení nových nebo změněných opatření realizovaných klienty a jejich účinnost.

O programu přechodu certifikace na normu ISO/IEC 27001:2023, podmínkách přechodu a podrobnostech auditu se mohou klienti Certifikačního orgánu CERTLINE podrobněji informovat pomocí emailové komunikace, telefonicky příp. osobní návštěvou u certifikačního orgánu.