731 901 601
Aktualizacja ISO 27001 w 2022 roku

Aktualizacja ISO 27001 w 2022 roku

25 października 2022 roku opublikowana została długo oczekiwana aktualizacja ISO 27001 – międzynarodowej normy standaryzującej systemy zarządzania bezpieczeństwem informacji. Normy ISO nowelizowane są co kilka lat, dzięki czemu mogą odpowiadać dynamicznie zmieniającej się rzeczywistości i potrzebom funkcjonujących w niej organizacji. Aktualizacja ISO 27001 była szczególnie ważna, ponieważ jest ściśle powiązana z wyjątkowo rozwojową branżą, jaką stanowią technologie cyfrowe. Obecnie to one wykorzystywane są najczęściej do ochrony informacji, a ich szybka ewolucja sprawia, że nieustannie stajemy przed nowymi wyzwaniami w zakresie bezpieczeństwa. Co zmieniło się w ISO/IEC 27001:2022 względem wydania z 2013 roku? Jak zaktualizować swój system zarządzania bezpieczeństwem informacji?.

Norma ISO 27001 a ISO 27002

Norma ISO 27001 pozwala stworzyć skuteczny system zarządzania bezpieczeństwem informacji (SZBI) – chronić takie aktywy, jak know-how, dane klientów, treści umów z kontrahentami, projekty nowych przedsięwzięć itd. ISO 27001 służy uszczelnieniu firmy fizycznie, ale przede wszystkim od strony teleinformatycznej. SZBI znacząco usprawnia organizację pracy i zwiększa efektywność przedsiębiorstwa. Certyfikacja ISO 27001:2022 ułatwia zaś utrzymanie SZBI w dobrej kondycji, a zarazem stanowi ważną legitymację w relacjach biznesowych – zwiększa wiarygodność firmy i jej konkurencyjną przewagę na rynku.

ISO/IEC 27001:2022 zawiera listę wymogów, jakim trzeba sprostać, by ustanowić zgodny z międzynarodowymi standardami SZBI. Służą też one jego sprawnej eksploatacji, monitorowaniu i doskonaleniu. Wymagania normy ISO 27001 mają charakter ogólny, co pozwala zastosować je do każdej organizacji. Merytorycznym rozwinięciem standardu jest norma ISO 27002:2022, tożsama z załącznikiem A do ISO/IEC 27001:2022. Zawiera ona praktyczne zasady zabezpieczania informacji. Wytyczne te pozwalają dostosować ISO 27001 do specyficznego kontekstu danej organizacji.

W lutym 2022 roku Międzynarodowa Organizacja Normalizacyjna znowelizowała normę ISO 27002, co spowodowało konieczność aktualizacji ISO 27001, aby te ściśle powiązane ze sobą standardy pozostały spójne. Dlatego zmiany w ISO/IEC 27001:2022 w stosunku do wersji z 2013 roku dotyczą głównie załącznika A.

Co nowego w ISO 27001:2022?

Zasadnicza treść ISO 27001:2022 zmieniła się tylko nieznacznie w stosunku do poprzedniczki. Inne brzmienie zyskał tytuł normy – zwroty „Technika informatyczna – Techniki bezpieczeństwa” zastąpiono sformułowaniem „Bezpieczeństwo informacji, bezpieczeństwo cybernetyczne i ochrona prywatności”, co sugeruje większe skupienie na wymienionych kwestiach. Drobne modyfikacje przeszły także klauzule od 4 do 10 – w kilku miejscach dodano nową treść. Ponadto wprowadzono nieco zmian w terminologii, a konkretnie uproszczono dotychczasową nomenklaturę. Te różnice pomiędzy wydaniem z 2013 a ISO 27001:2022 nie mają jednak większego wpływu na funkcjonowanie SZBI.

Istotne zmiany dotyczą załącznika A standardu ISO/IEC 27001:2022. Restrukturyzacji i rozszerzeniu uległa lista omawianych w nim zabezpieczeń. Zamiast 114 jest ich obecnie 93, co nie oznacza, że część z nich usunięto. Przeciwnie – dodano 11 nowych (dotyczących głównie bezpieczeństwa danych w chmurze i ochrony prywatności), takich jak:

  • analiza zagrożeń,
  • bezpieczeństwo informacji przy korzystaniu z usług w chmurze,
  • gotowość teleinformatyczna do zapewnienia ciągłości działania,
  • monitorowanie bezpieczeństwa fizycznego,
  • zarządzanie konfiguracją,
  • usuwanie informacji,
  • maskowanie danych,
  • zapobieganie wyciekom danych,
  • działania monitorujące,
  • filtrowanie stron internetowych,
  • bezpieczne kodowanie.

Ogólna liczna zabezpieczeń uległa zmniejszeniu, ponieważ niektóre zostały połączone z innymi. Część z nich poprawiono. Wszystkie zabezpieczenia podzielone zostały na cztery grupy:

  • organizacyjne (dotyczące m.in. polityki informacyjnej, korzystania z usług w chmurze),
  • osobowe (odnoszące się np. do pracy zdalnej, zasad zachowania poufności),
  • fizyczne (związane np. z nośnikami pamięci, zabezpieczaniem pomieszczeń),
  • technologiczne (nawiązujące do takich kwestii, jak bezpiecznie uwierzytelnianie).

Zmiany w strukturze załącznika A ISO 27001:2022 mają ułatwić organizacjom wdrożenie i sprawne korzystanie z środków bezpieczeństwa informacji, a ich aktualizacja odpowiada obecnym wymogom prawnym (np. dotyczącym RODO) oraz zmianom, jakie przez ostatnie lata zaszły w obszarze technologii IT.

Wdrożenie i audyt ISO 27001:2022

Choć zmiany w ISO/IEC 27001:2022 dotyczą głównie nomenklatury i struktury dokumentu, w praktyce mogą wpływać na procedury działania w zakresie zabezpieczania informacji oraz postępowania w sytuacjach kryzysowych. Dlatego swój SZBI musi zweryfikować każda firma, która obecnie posiada certyfikat ISO 27001:2013.

Jak w przypadku każdej nowelizacji norm ISO organizacje mają trzy lata (do 31 października 2025 roku) na dostosowanie swoich systemów zarządzania do nowych wytycznych. Certyfikację ISO 27001 i tak należy co trzy lata powtarzać, więc nie ma potrzeby wcześniejszej wymiany dokumentu na certyfikat ISO 27001:2022. Warto jednak już teraz zaktualizować SZBI, by nieprzerwanie odwoływać się w swojej działalności do najlepszych spośród stosowanych na świecie praktyk w zakresie ochrony informacji, a przy okazji dobrze przygotować się do najbliższego audytu ISO 27001:2022.

Osoby odpowiedzialne za utrzymanie SZBI w danej organizacji powinny zapoznać się z nową strukturą i rozbudowaną listą zabezpieczeń ujętych w nowelizacji ISO 27001, a następnie zidentyfikować ewentualne luki w dotychczasowym systemie. Analiza ta pokaże, na ile nowe elementy normy mogą być pomocne w zarządzaniu bezpieczeństwem informacji w danej organizacji. Zmiany w zabezpieczeniach ujęte w załączniku A muszą znaleźć odzwierciedlenie w dokumentacji SZBI. W większości przypadków będzie to oznaczało dodanie opisu nowych procedur do już istniejących.

Jeśli chodzi o wdrożenie normy 27001 w organizacjach, które dotąd nie korzystały z jej wytycznych, mogą one już teraz opracowywać swój SZBI pod kątem certyfikacyjnego audytu ISO 27001:2022 jednostki certyfikującej i ubiegać się o certyfikat ISO 27001:2022.

Czytaj inne wpisy

Czym jest certyfikat ISO 45001 i dlaczego warto się o niego ubiegać?

Czym jest certyfikat ISO 45001 i dlaczego warto się o niego ubiegać?

System ISO 45001:2018 zawiera wskazówki dotyczące kompleksowego, nowoczesnego podejścia do bezpieczeństwa i higieny pracy. czytaj więcej
Czym jest certyfikat ISO 27001 i jakie są korzyści z jego posiadania?

Czym jest certyfikat ISO 27001 i jakie są korzyści z jego posiadania?

Zastosowanie ISO/IEC 27001 umożliwia szybszą reakcję i ograniczenie potencjalnych, negatywnych skutków, gdy wystąpią zdarzenia niepożądane. czytaj więcej
Standard TISAX - jak zbudować wiarygodność firmy działającej w branży motoryzacyjnej?

Standard TISAX - jak zbudować wiarygodność firmy działającej w branży motoryzacyjnej?

Prowadzisz firmę motoryzacyjną lub świadczysz usługi dla branży automotive? Z pewnością wciąż szukasz sposobów, by poszerzysz bazę swoich krajowych klientów, a może nawet wkroczyć na światowe rynki. Wiesz także, że działasz w niezwykle konkurencyjnym sektorze. By przykuć uwagę potencjalnych kontrahentów, nie wystarczy zaproponować im wysokiej klasy produktu. czytaj więcej
Więcej wpisów