Uvod u novu ISO/IEC 27001:2022

27001

U listopadu 2022. godine izdana je nova verzija norme informacijske sigurnosti ISO/IEC 27001:2022. Norma definira zahtjeve za uspostavu, uvođenje, održavanje i kontinuirano poboljšanje sustava upravljanja informacijskom sigurnošću. Ova međunarodna norma, kao i ranija verzija, uključuje zahtjeve za procjenu i obradu rizika informacijske sigurnosti prilagođenih potrebama organizacije. Zahtjevi norme su opći i namijenjeni su primjeni u svim organizacijama bez obzira na vrstu, veličinu i prirodu. Isključivanje bilo kojeg zahtjeva u točkama 4.-10. nije dopušteno u slučajevima kada organizacija tvrdi da je u skladu s ovim standardom.

Prva promjena koju odmah primjećujemo je u samom nazivu norme. Dosadašnji naziv norme je Information technology — Security techniques (Informacijska tehnologija — Sigurnosne tehnike), a naziv nove norme je Information security, Cybersecurity and Privacy protection (Informacijska sigurnost, kibersigurnost i zaštita privatnosti).

Nove promjene u ISO/IEC 27001:2022 trenutno ne utječu na trenutni certifikat ISO/IEC 27001.

Tvrtke imaju prijelazno razdoblje prilagodbe novom standardu – 3 godine (listopad 2025.). Spremnost za certifikaciju u skladu s ISO/IEC 27001:2022 ovisi o akreditacijskom tijelu. Certifikacija i recertifikacija prema verziji 27001:2013 moguća je još 18 mjeseci nakon izlaska nove verzije.

Koraci koje je potrebno poduzeti za implementaciju nove verzije su:

  1. Organizacija bi se trebala upoznati s novom verzijom ISO/IEC 27001:2022 (prvenstveno EDUKACIJA o upravljanju ISO-om)
  2. Revizija Izjave o primjenjivosti (SOA)
  3. Revizija Plana upravljanja rizicima (s obzirom na novu strukturu i broj kontrola)
  4. Revizija ISO politika i postupaka (koja uključuje ažuriranje postupaka za komunikaciju, komunikacijski plan itd.)
  5. Revizija ciljeva (6.2.) i praćenje (9.1.)
  6. Revizija dokumentacije vezane za provedbu audita (plan i program)
  7. Revizija ulaznih podataka upravine ocjene
  8. Ažuriranje SW rješenja i alata (ako se zapisi sustava vode kroz SW rješenja / alate / aplikacije)
  9. Osvještavanje i edukacija svih zaposlenika

Postoji niz značajnih promjena u već postojećim klauzulama unutar standarda, ali postoje nove – 11 novih kontrola u Prilogu A:

  1. Obavještajni podaci o prijetnjama (A.5 Organizacijske kontrole)
  2. Informacijska sigurnost za korištenje usluga u oblaku (A.5 Organizacijske kontrole)
  3. Spremnost IKT-a za kontinuitet poslovanja (A.5 Organizacijske kontrole)
  4. Nadzor fizičke sigurnosti (A.7 Fizičke kontrole)
  5. Upravljanje konfiguracijom (A.8 Tehnološke kontrole)
  6. Brisanje informacija (A.8 Tehnološke kontrole)
  7. Maskiranje podataka (A.8 Tehnološke kontrole)
  8. Sprječavanje curenja podataka (A.8 Tehnološke kontrole)
  9. Aktivnosti praćenja (A.8 Tehnološke kontrole)
  10. Web filtriranje (A.8 Tehnološke kontrole)
  11. Sigurno kodiranje (A.8 Tehnološke kontrole)

Za konkretne promjene u svakoj postojećoj odredbi ili objašnjenju novih slobodno nas kontaktirajte na sales@boost.hr

Newsletter

Pretplatite se na naš Newsletter!

Izrada internetske stranice sufinancirana je sredstvima pomoći Operativnog programa „Konkurentnost i kohezija“ iz Europskog fonda za regionalni razvoj. Saznaj više

Krajnji primatelj financijskog instrumenta sufinanciranog iz Europskog fonda za regionalni razvoj u sklopu Operativnog programa Konkurentnost i kohezija 2014.-2020.”.