Jak przejść na nową normę ISO 27001:2022

Nowa norma ISO/IEC 27001:2022 została właśnie opublikowana. Na razie jest dostępna tylko w wersji angielskiej, ale już wkrótce zostanie przetłumaczona na inne języki.
Co się zmieniło w normie ISO 27001? Na ile będziemy musieli dostosować nasz systsem zarządzania bezpieczeństwem informacji? Zmian jest niewiele ale warto je poznać i uszczelić swój system.

Zmiana w Rozdziale 6 i kilka uwag ma minimalny wpływ na strategie wdrażania/funkcjonowania i może być łatwo uwzględniona w projektach rozpoczynających się publikacją nowej ISO/IEC 27001:2022.

Bardziej istotna zmiana znajduje się w załączniku A, który jest zmapowany do elementów sterujących określonych w normie ISO/IEC 27002, opublikowanej na początku tego roku.

Organizacje wdrażające ISO 27001 nie są zobowiązane do wdrażania elementów z załącznika A. Wymaganiem koniecznym jest po prostu, aby organizacja wybierała elementy z dowolnego źródła, które uważa za właściwe. Następnie mapowała te elementy i dostarczała uzasadnienie dla pominięcia tych, które nie zostały wdrożone.

Co to oznacza z punktu widzenia wdrożenia?

Oznacza to, że organizacja może już dziś iść naprzód i wdrożyć system zarządzania, który może być certyfikowany zgodnie z ISO 27001:2013, i może to zrobić ze świadomością, że przejście na ISO/IEC 27001:2022 będzie wymagało jedynie minimalnego wysiłku – i termin przejścia nastąpi dopiero pod koniec 2024 roku.
To przejście może być tak proste, jak zmiana Deklaracji stosowania w celu odwzorowania elementów sterujących z 2013 r. na elementy sterujące z 2022 r. – a to mapowanie jest już określone w normie ISO/IEC 27002:2022.

Zobacz podobne Jakie są cele cyberbezpieczeństwa?

Jak wdrożyć nowe ISO 27001? – aktualizacja systemu bezpieczeństwa informacji

Rozpocząć przygotowania już teraz, aby zapewnić płynne przejścia i zminimalizować zakłócenia. Przy przejściu weź pod uwagę następujące kluczowe działania:

Opracuj program edukacyjny dla osób zaangażowanych w działanie SZBI
Zapoznaj się z 93 elementami sterującymi w ISO 27002:2022
Zidentyfikuj, które elementy wdrożone w Twojej organizacji mają wpływ na SZBI
Przygotuj dokumentację do przejścia

Przeprowadź analizę luk bezpieczeństwa

Chociaż między wersją 2013 a wersją 2022 normy ISO 27001 nie usunięto żadnych zabezpieczeń, połączenie, aktualizacja i wprowadzenie nowych kontroli wpłynie na sposób, w jaki obecnie nimi zarządzasz. Przy okazji masz możliwość przeglądu rejestru ryzyka i ocen ryzyka w celu określenia ich przydatności i zastosowania w swoim systemie zarządzania bezpieczeństwem informacji.

Zobacz podobne Audytowanie Systemu Zarządzania Bezpieczeństwem Informacji. Norma ISO/IEC 27007:2020

Przeprowadzenie analizy luk między obecnym systemem a zabezpieczeniami z ISO 27002:2022 pomoże Ci zrozumieć, w jaki sposób wpłynie to na SZBI i co będzie wymagało dostosowania, aby był zgodny z nową normą ISO 27001.

Ta analiza luk pomoże również określić, czy nowe elementy sterowania mogą pomóc w zarządzaniu ryzykiem i w jaki sposób.

Zobacz też:
Wdrożenie i Audyt SZBI
Szkolenia ISO/IEC 27001

Rozważ atrybuty (załącznik A ISO/IEC 27002)

Wraz z wprowadzeniem Atrybutów w standardzie ISO 27002:2022 możesz wykorzystywać proces przeglądu do wdrożenia atrybutów. Zaletą atrybutów jest możliwość tworzenia różnych widoków lub kategoryzacji elementów sterujących widzianych z różnych perspektyw lub tematów.

Na przykład możesz je przeglądać z perspektywy typów działań (działania zapobiegawcze, korygujące) lub można to zrobić w oparciu o różne właściwości zabezpieczeń (poufność, integralność, dostępność) lub w oparciu o różne możliwości operacyjne, (zarządzanie, zarządzanie tożsamością i dostępem, kwestie prawne i zgodność) itp.

Zoptymalizuj swoją Deklarację stosowania

Przeprowadzając przegląd systemu zarządzania bezpieczeństwem informacji, rozważ utworzenie równolegle Deklaracji stosowania w oparciu o wersję z 2022 r., w tym sterowanie o zmienionej nazwie, a także sterowanie połączone i nowe. Wynika to z harmonogramu przejścia na nową normę.
Audyty przeprowadzone przed audytem przejścia nadal będą musiały być zgodne z wersją 2013, a zatem będą musiały odnosić się do odpowiednich wymagań.

Zobacz podobne Rozporządzenie w sprawie obrotu towarami strategicznymi (2021/821)

Rozważ zasoby do przejścia na nową ISO 27001:2022

Chociaż wymagania normy ISO 27001:2022 nie uległy zmianie, aktualizacja sterowania wymienionych w załączniku A wymaga od Twojej organizacji rozważenia, w jaki sposób wdrożą te aktualizacje.

Szkolenia: wymagania nowej normy ISO/IEC 27001:2022

Szkolenie audytorów wewnętrznych SZBI (ang. ISMS) jest konieczne, aby upewnić się, że rozumieją, co jest wymagane i jak pomóc organizacji zabezpieczyć luki. Aby określić wpływ na ocenę ryzyka i bezpieczeństwo organizacji, uwzględnij również szkolenia właścicieli poszczególnych obszarów systemu bezpieczeństwa informacji.
Dobry sposobem będzie tu odpowiednio zaplanowany program szkoleń, pomagający również w zarządzaniu zmianą, dając pracownikom czas i możliwość dostosowania się do zmian.

Jesteś zainteresowany zmianami w nowej normie ISO/IEC 27001?
Chcesz wdrożyć system zarządzania bezpieczństewm w swojej organizacji? Przyprowadzić AUDYT bezpieczeństwa?
Zdobyć uprawnienia Pełnomocnika, Audytora ds. SZBI?
Skontaktuj się z nami!