787 974 136
731 901 601
DJB Doradztwo Blog Aktualizacja ISO 27001 w 2022 roku
Aktualizacja ISO 27001 w 2022 roku

Aktualizacja ISO 27001 w 2022 roku

ISO 27001

25 października 2022 roku opublikowana została długo oczekiwana aktualizacja ISO 27001 – międzynarodowej normy standaryzującej systemy zarządzania bezpieczeństwem informacji. Normy ISO nowelizowane są co kilka lat, dzięki czemu mogą odpowiadać dynamicznie zmieniającej się rzeczywistości i potrzebom funkcjonujących w niej organizacji. Aktualizacja ISO 27001 była szczególnie ważna, ponieważ jest ściśle powiązana z wyjątkowo rozwojową branżą, jaką stanowią technologie cyfrowe. Obecnie to one wykorzystywane są najczęściej do ochrony informacji, a ich szybka ewolucja sprawia, że nieustannie stajemy przed nowymi wyzwaniami w zakresie bezpieczeństwa. Co zmieniło się w ISO/IEC 27001:2022 względem wydania z 2013 roku? Jak zaktualizować swój system zarządzania bezpieczeństwem informacji?.

Norma ISO 27001 a ISO 27002

Norma ISO 27001 pozwala stworzyć skuteczny system zarządzania bezpieczeństwem informacji (SZBI) – chronić takie aktywy, jak know-how, dane klientów, treści umów z kontrahentami, projekty nowych przedsięwzięć itd. ISO 27001 służy uszczelnieniu firmy fizycznie, ale przede wszystkim od strony teleinformatycznej. SZBI znacząco usprawnia organizację pracy i zwiększa efektywność przedsiębiorstwa. Certyfikacja ISO 27001:2022 ułatwia zaś utrzymanie SZBI w dobrej kondycji, a zarazem stanowi ważną legitymację w relacjach biznesowych – zwiększa wiarygodność firmy i jej konkurencyjną przewagę na rynku.

ISO/IEC 27001:2022 zawiera listę wymogów, jakim trzeba sprostać, by ustanowić zgodny z międzynarodowymi standardami SZBI. Służą też one jego sprawnej eksploatacji, monitorowaniu i doskonaleniu. Wymagania normy ISO 27001 mają charakter ogólny, co pozwala zastosować je do każdej organizacji. Merytorycznym rozwinięciem standardu jest norma ISO 27002:2022, tożsama z załącznikiem A do ISO/IEC 27001:2022. Zawiera ona praktyczne zasady zabezpieczania informacji. Wytyczne te pozwalają dostosować ISO 27001 do specyficznego kontekstu danej organizacji.

W lutym 2022 roku Międzynarodowa Organizacja Normalizacyjna znowelizowała normę ISO 27002, co spowodowało konieczność aktualizacji ISO 27001, aby te ściśle powiązane ze sobą standardy pozostały spójne. Dlatego zmiany w ISO/IEC 27001:2022 w stosunku do wersji z 2013 roku dotyczą głównie załącznika A.

Co nowego w ISO 27001:2022?

Zasadnicza treść ISO 27001:2022 zmieniła się tylko nieznacznie w stosunku do poprzedniczki. Inne brzmienie zyskał tytuł normy – zwroty „Technika informatyczna – Techniki bezpieczeństwa” zastąpiono sformułowaniem „Bezpieczeństwo informacji, bezpieczeństwo cybernetyczne i ochrona prywatności”, co sugeruje większe skupienie na wymienionych kwestiach. Drobne modyfikacje przeszły także klauzule od 4 do 10 – w kilku miejscach dodano nową treść. Ponadto wprowadzono nieco zmian w terminologii, a konkretnie uproszczono dotychczasową nomenklaturę. Te różnice pomiędzy wydaniem z 2013 a ISO 27001:2022 nie mają jednak większego wpływu na funkcjonowanie SZBI.

Istotne zmiany dotyczą załącznika A standardu ISO/IEC 27001:2022. Restrukturyzacji i rozszerzeniu uległa lista omawianych w nim zabezpieczeń. Zamiast 114 jest ich obecnie 93, co nie oznacza, że część z nich usunięto. Przeciwnie – dodano 11 nowych (dotyczących głównie bezpieczeństwa danych w chmurze i ochrony prywatności), takich jak:

  • analiza zagrożeń,
  • bezpieczeństwo informacji przy korzystaniu z usług w chmurze,
  • gotowość teleinformatyczna do zapewnienia ciągłości działania,
  • monitorowanie bezpieczeństwa fizycznego,
  • zarządzanie konfiguracją,
  • usuwanie informacji,
  • maskowanie danych,
  • zapobieganie wyciekom danych,
  • działania monitorujące,
  • filtrowanie stron internetowych,
  • bezpieczne kodowanie.

Ogólna liczna zabezpieczeń uległa zmniejszeniu, ponieważ niektóre zostały połączone z innymi. Część z nich poprawiono. Wszystkie zabezpieczenia podzielone zostały na cztery grupy:

  • organizacyjne (dotyczące m.in. polityki informacyjnej, korzystania z usług w chmurze),
  • osobowe (odnoszące się np. do pracy zdalnej, zasad zachowania poufności),
  • fizyczne (związane np. z nośnikami pamięci, zabezpieczaniem pomieszczeń),
  • technologiczne (nawiązujące do takich kwestii, jak bezpiecznie uwierzytelnianie).

Zmiany w strukturze załącznika A ISO 27001:2022 mają ułatwić organizacjom wdrożenie i sprawne korzystanie z środków bezpieczeństwa informacji, a ich aktualizacja odpowiada obecnym wymogom prawnym (np. dotyczącym RODO) oraz zmianom, jakie przez ostatnie lata zaszły w obszarze technologii IT.

Wdrożenie i audyt ISO 27001:2022

Choć zmiany w ISO/IEC 27001:2022 dotyczą głównie nomenklatury i struktury dokumentu, w praktyce mogą wpływać na procedury działania w zakresie zabezpieczania informacji oraz postępowania w sytuacjach kryzysowych. Dlatego swój SZBI musi zweryfikować każda firma, która obecnie posiada certyfikat ISO 27001:2013.

Jak w przypadku każdej nowelizacji norm ISO organizacje mają trzy lata (do 31 października 2025 roku) na dostosowanie swoich systemów zarządzania do nowych wytycznych. Certyfikację ISO 27001 i tak należy co trzy lata powtarzać, więc nie ma potrzeby wcześniejszej wymiany dokumentu na certyfikat ISO 27001:2022. Warto jednak już teraz zaktualizować SZBI, by nieprzerwanie odwoływać się w swojej działalności do najlepszych spośród stosowanych na świecie praktyk w zakresie ochrony informacji, a przy okazji dobrze przygotować się do najbliższego audytu ISO 27001:2022.

Osoby odpowiedzialne za utrzymanie SZBI w danej organizacji powinny zapoznać się z nową strukturą i rozbudowaną listą zabezpieczeń ujętych w nowelizacji ISO 27001, a następnie zidentyfikować ewentualne luki w dotychczasowym systemie. Analiza ta pokaże, na ile nowe elementy normy mogą być pomocne w zarządzaniu bezpieczeństwem informacji w danej organizacji. Zmiany w zabezpieczeniach ujęte w załączniku A muszą znaleźć odzwierciedlenie w dokumentacji SZBI. W większości przypadków będzie to oznaczało dodanie opisu nowych procedur do już istniejących.

Jeśli chodzi o wdrożenie normy 27001 w organizacjach, które dotąd nie korzystały z jej wytycznych, mogą one już teraz opracowywać swój SZBI pod kątem certyfikacyjnego audytu ISO 27001:2022 jednostki certyfikującej i ubiegać się o certyfikat ISO 27001:2022.

Czytaj inne wpisy

Korzyści z certyfikacji FSC w handlu detalicznym

Korzyści z certyfikacji FSC w handlu detalicznym

Przedsiębiorcy zajmujący się handlem detalicznym to często ostatnie ogniwo w łańcuchu dostaw. Na tym etapie produkt końcowy trafia do rąk klienta, w związku z czym to z marką sprzedawcy bywa najsilniej kojarzony. Sprzedawcy detaliczni nie muszą uzyskiwać certyfikatu FSC, ponieważ ich działalność nie wiąże się zmianą własności oferowanych towarów. czytaj więcej Zarządzanie ryzykiem w organizacji – jakie korzyści wiążą się z wdrożeniem normy ISO 31000?

Zarządzanie ryzykiem w organizacji – jakie korzyści wiążą się z wdrożeniem normy ISO 31000?

Rozwój globalnego rynku już od dziesięcioleci wymusza tworzenie standardów, które pozwoliłyby na ujednolicenie działania współpracujących ze sobą przedsiębiorstw. Początkowo organizacje normalizacyjne koncentrowały się głównie na właściwościach wprowadzanych do obrotu towarów. czytaj więcej Czym jest certyfikat ISO 14001 i jakie zapewni Ci korzyści?

Czym jest certyfikat ISO 14001 i jakie zapewni Ci korzyści?

Posiadając certyfikat ISO 14001 organizacja pokazuje swoim klientom, że jest świadoma zobowiązań środowiskowych. Poznaj korzyści płynące z ISO 14001! czytaj więcej
Więcej wpisów
Djb Doradztwo

DJB DORADZTWO
Marcin Chorąży

ul. Kilińskiego 121 C / 152
90-049 Łódź
Oferta
Firma
Copyright 2025 DJB Doradztwo
Polityka prywatności Kontakt