Pewnie dużo zdziwienia, zaniepokojenia i pytań wynika z informacji, która stosunkowo niedawno pojawiła się na stronie PKN (Polskiego Komitetu Normalizacyjnego), o wycofaniu normy PN-EN ISO/IEC 27001:2014. Żadne zmiany w takim krótkim czasie ze strony międzynarodowej organizacji normalizacyjnej ISO nie były zapowiadane.
Spróbujemy wyjaśnić co się dzieje:
- Jakie zmiany wchodzą w życie?
- Czy trzeba martwić się o uzyskanie nowych certyfikatów i/lub wymiany otrzymanych wcześniej?
- Jaki mamy period przejściowy na dostosowanie systemów zarządzania bezpieczeństwem informacji do nowych wymogów?
- Kiedy trzeba przeprowadzić recertyfikację już certyfikowanych systemów na „nową” normę.
Zmiany do normy EN ISO/IEC 27001 były wprowadzone i zatwierdzone przez komitety europejskie CEN (Europejski Komitet Normalizacyjny) i Cenelec (Europejski Komitet Normalizacyjny Elektrotechniki). Świadczą o tym literki EN w nazwie normy.
Sam tekst normy EN ISO/IEC 27001:2017 jest taki sam jak normy ISO/IEC 27001: 2013 z poprawkami Cor 1: 2014 i Cor 2: 2015 przygotowanymi przez Komitet Techniczny ISO.
Nie mniej jednak jeśli zwiedzimy stronę internetową ISO, to nie znajdziemy tam żadnych informacji o wprowadzeniu normy ISO/IEC 27001:2017 co potwierdza aktualizację regionalną!
W samej normie odnotowano, że niniejsza norma europejska otrzymuje status normy krajowej albo poprzez publikację identycznego tekstu albo poparcie najpóźniej do sierpnia 2017 roku, poprzednie normy krajowe nakazuje wycofać do sierpnia 2017 r.
Co to oznacza?
Otóż możemy się uspokoić, ponieważ nie musimy wprowadzać nagłej zmiany do systemu zarządzania, które były certyfikowane na normę międzynarodową ISO/IEC 27001: 2013.
Warto podkreślić, że jednostki certyfikujące posiadają akredytacje na normy międzynarodowe, czyli w naszym przypadku – ISO/IEC 27001. Zatem na tym etapie aktualizacji certyfikatów nie będzie, a klienci jednostek certyfikujących będą nadal otrzymywać certyfikat zgodności z normą ISO / IEC 27001: 2013.
Nie będzie żadnego okresu przejściowego oraz istotnych zmian, które spowodowałyby konieczność recertyfikacji na „nową” normę!
Najbardziej istotne kwestie zostały rozstrzygnięte, ale pozostały nam zmiany.
Nowa europejska wersja ISO/IEC 27001:2017 zawiera głównie dwa poprawione elementy:
- w punkcie 6.1.3 postępowanie z ryzykiem związanym z bezpieczeństwem informacji
- oraz kontrolę z załącznika A – A8.1 dotyczącą zarządzania aktywami i odpowiedzialności za aktywa (Cor 1:2014 i Cor 2:2015):
- A8.1.1 Inwentaryzacja aktywów
Należy zidentyfikować informacje oraz inne aktywa związane z informacją i obiektami przetwarzania informacji, a spis tych wszystkich aktywów powinien być utworzony i utrzymywany. - A8.1.3 Akceptowalne użycie aktywów
Pracownicy i użytkownicy z zewnątrz korzystający z lub mające dostęp do zasobów organizacji powinni być świadomi wymogów bezpieczeństwa informacji dotyczących aktywów organizacji związanych z informacją, infrastrukturą służącą do przetwarzania informacji i zasobami.
- A8.1.1 Inwentaryzacja aktywów
Wersja 2014 jest obecnie wycofywana w Polsce. Również zgodnie z Regulaminem Wewnętrznym CEN-CENELEC krajowe organizacje normalizacyjne z państw członkowskich zobowiązane są wdrożyć niniejszą Normę Europejską: Austria, Belgia, Bułgaria, Chorwacja, Cypr, Republika Czeska, Dania, Estonia, Finlandia, Była Jugosłowiańska Republika Macedonii, Francja, Niemcy, Grecja, Węgry, Islandia, Irlandia, Włochy, Łotwa, Litwa, Luksemburg, Malta, Holandia, Norwegia, Polska, Portugalia, Rumunia, Serbia, Słowacja, Słowenia, Hiszpania, Szwecja, Szwajcaria, Turcja i Zjednoczone Królestwo.
Wykorzystane źródła:
– EN ISO/IEC 27001:2017
– pkn.pl
Autor: Maryna Kuczyńska (1735)
