731 901 601
Aktualizacja ISO 27001 w 2022 roku

Aktualizacja ISO 27001 w 2022 roku

25 października 2022 roku opublikowana została długo oczekiwana aktualizacja ISO 27001 – międzynarodowej normy standaryzującej systemy zarządzania bezpieczeństwem informacji. Normy ISO nowelizowane są co kilka lat, dzięki czemu mogą odpowiadać dynamicznie zmieniającej się rzeczywistości i potrzebom funkcjonujących w niej organizacji. Aktualizacja ISO 27001 była szczególnie ważna, ponieważ jest ściśle powiązana z wyjątkowo rozwojową branżą, jaką stanowią technologie cyfrowe. Obecnie to one wykorzystywane są najczęściej do ochrony informacji, a ich szybka ewolucja sprawia, że nieustannie stajemy przed nowymi wyzwaniami w zakresie bezpieczeństwa. Co zmieniło się w ISO/IEC 27001:2022 względem wydania z 2013 roku? Jak zaktualizować swój system zarządzania bezpieczeństwem informacji?.

Norma ISO 27001 a ISO 27002

Norma ISO 27001 pozwala stworzyć skuteczny system zarządzania bezpieczeństwem informacji (SZBI) – chronić takie aktywy, jak know-how, dane klientów, treści umów z kontrahentami, projekty nowych przedsięwzięć itd. ISO 27001 służy uszczelnieniu firmy fizycznie, ale przede wszystkim od strony teleinformatycznej. SZBI znacząco usprawnia organizację pracy i zwiększa efektywność przedsiębiorstwa. Certyfikacja ISO 27001:2022 ułatwia zaś utrzymanie SZBI w dobrej kondycji, a zarazem stanowi ważną legitymację w relacjach biznesowych – zwiększa wiarygodność firmy i jej konkurencyjną przewagę na rynku.

ISO/IEC 27001:2022 zawiera listę wymogów, jakim trzeba sprostać, by ustanowić zgodny z międzynarodowymi standardami SZBI. Służą też one jego sprawnej eksploatacji, monitorowaniu i doskonaleniu. Wymagania normy ISO 27001 mają charakter ogólny, co pozwala zastosować je do każdej organizacji. Merytorycznym rozwinięciem standardu jest norma ISO 27002:2022, tożsama z załącznikiem A do ISO/IEC 27001:2022. Zawiera ona praktyczne zasady zabezpieczania informacji. Wytyczne te pozwalają dostosować ISO 27001 do specyficznego kontekstu danej organizacji.

W lutym 2022 roku Międzynarodowa Organizacja Normalizacyjna znowelizowała normę ISO 27002, co spowodowało konieczność aktualizacji ISO 27001, aby te ściśle powiązane ze sobą standardy pozostały spójne. Dlatego zmiany w ISO/IEC 27001:2022 w stosunku do wersji z 2013 roku dotyczą głównie załącznika A.

Co nowego w ISO 27001:2022?

Zasadnicza treść ISO 27001:2022 zmieniła się tylko nieznacznie w stosunku do poprzedniczki. Inne brzmienie zyskał tytuł normy – zwroty „Technika informatyczna – Techniki bezpieczeństwa” zastąpiono sformułowaniem „Bezpieczeństwo informacji, bezpieczeństwo cybernetyczne i ochrona prywatności”, co sugeruje większe skupienie na wymienionych kwestiach. Drobne modyfikacje przeszły także klauzule od 4 do 10 – w kilku miejscach dodano nową treść. Ponadto wprowadzono nieco zmian w terminologii, a konkretnie uproszczono dotychczasową nomenklaturę. Te różnice pomiędzy wydaniem z 2013 a ISO 27001:2022 nie mają jednak większego wpływu na funkcjonowanie SZBI.

Istotne zmiany dotyczą załącznika A standardu ISO/IEC 27001:2022. Restrukturyzacji i rozszerzeniu uległa lista omawianych w nim zabezpieczeń. Zamiast 114 jest ich obecnie 93, co nie oznacza, że część z nich usunięto. Przeciwnie – dodano 11 nowych (dotyczących głównie bezpieczeństwa danych w chmurze i ochrony prywatności), takich jak:

  • analiza zagrożeń,
  • bezpieczeństwo informacji przy korzystaniu z usług w chmurze,
  • gotowość teleinformatyczna do zapewnienia ciągłości działania,
  • monitorowanie bezpieczeństwa fizycznego,
  • zarządzanie konfiguracją,
  • usuwanie informacji,
  • maskowanie danych,
  • zapobieganie wyciekom danych,
  • działania monitorujące,
  • filtrowanie stron internetowych,
  • bezpieczne kodowanie.

Ogólna liczna zabezpieczeń uległa zmniejszeniu, ponieważ niektóre zostały połączone z innymi. Część z nich poprawiono. Wszystkie zabezpieczenia podzielone zostały na cztery grupy:

  • organizacyjne (dotyczące m.in. polityki informacyjnej, korzystania z usług w chmurze),
  • osobowe (odnoszące się np. do pracy zdalnej, zasad zachowania poufności),
  • fizyczne (związane np. z nośnikami pamięci, zabezpieczaniem pomieszczeń),
  • technologiczne (nawiązujące do takich kwestii, jak bezpiecznie uwierzytelnianie).

Zmiany w strukturze załącznika A ISO 27001:2022 mają ułatwić organizacjom wdrożenie i sprawne korzystanie z środków bezpieczeństwa informacji, a ich aktualizacja odpowiada obecnym wymogom prawnym (np. dotyczącym RODO) oraz zmianom, jakie przez ostatnie lata zaszły w obszarze technologii IT.

Wdrożenie i audyt ISO 27001:2022

Choć zmiany w ISO/IEC 27001:2022 dotyczą głównie nomenklatury i struktury dokumentu, w praktyce mogą wpływać na procedury działania w zakresie zabezpieczania informacji oraz postępowania w sytuacjach kryzysowych. Dlatego swój SZBI musi zweryfikować każda firma, która obecnie posiada certyfikat ISO 27001:2013.

Jak w przypadku każdej nowelizacji norm ISO organizacje mają trzy lata (do 31 października 2025 roku) na dostosowanie swoich systemów zarządzania do nowych wytycznych. Certyfikację ISO 27001 i tak należy co trzy lata powtarzać, więc nie ma potrzeby wcześniejszej wymiany dokumentu na certyfikat ISO 27001:2022. Warto jednak już teraz zaktualizować SZBI, by nieprzerwanie odwoływać się w swojej działalności do najlepszych spośród stosowanych na świecie praktyk w zakresie ochrony informacji, a przy okazji dobrze przygotować się do najbliższego audytu ISO 27001:2022.

Osoby odpowiedzialne za utrzymanie SZBI w danej organizacji powinny zapoznać się z nową strukturą i rozbudowaną listą zabezpieczeń ujętych w nowelizacji ISO 27001, a następnie zidentyfikować ewentualne luki w dotychczasowym systemie. Analiza ta pokaże, na ile nowe elementy normy mogą być pomocne w zarządzaniu bezpieczeństwem informacji w danej organizacji. Zmiany w zabezpieczeniach ujęte w załączniku A muszą znaleźć odzwierciedlenie w dokumentacji SZBI. W większości przypadków będzie to oznaczało dodanie opisu nowych procedur do już istniejących.

Jeśli chodzi o wdrożenie normy 27001 w organizacjach, które dotąd nie korzystały z jej wytycznych, mogą one już teraz opracowywać swój SZBI pod kątem certyfikacyjnego audytu ISO 27001:2022 jednostki certyfikującej i ubiegać się o certyfikat ISO 27001:2022.

Czytaj inne wpisy

Nowe wydanie normy BRC Food – wersja 9

Nowe wydanie normy BRC Food – wersja 9

BRC Food wersja 9. Nowe wydanie normy – jak spełnić jej wymagania? Od kiedy można się certyfikować? Zapraszamy do lektury. czytaj więcej
Korzyści z certyfikacji FSC w handlu detalicznym

Korzyści z certyfikacji FSC w handlu detalicznym

Przedsiębiorcy zajmujący się handlem detalicznym to często ostatnie ogniwo w łańcuchu dostaw. Na tym etapie produkt końcowy trafia do rąk klienta, w związku z czym to z marką sprzedawcy bywa najsilniej kojarzony. Sprzedawcy detaliczni nie muszą uzyskiwać certyfikatu FSC, ponieważ ich działalność nie wiąże się zmianą własności oferowanych towarów. czytaj więcej
Co to jest ISO 45001 i jak uzyskać certyfikat ISO 45001:2018?

Co to jest ISO 45001 i jak uzyskać certyfikat ISO 45001:2018?

ISO 45001:2018 jest to międzynarodowa norma określająca wymagania dotyczące Systemu Zarządzania Bezpieczeństwem i Higieną Pracy (BHP). czytaj więcej
Więcej wpisów