Nová posila informační bezpečnosti - ISO 27001:2022

Jak přispívá k bezpečnosti informací v organizaci? V čem se liší od verze 2013? A do kdy musíte přejít na novou verzi, když máte certifikát dle ISO 27001:2013?

Systém řízení bezpečnosti informací (ISMS) dle ISO 27001 je v poslední době u nás v S-cope s.r.o. hned po ISO 9001 ten nejžádanější. Zejména proto, že význam informační a kybernetické bezpečnosti roste každým dnem. Často je i požadavkem zákazníků. V případě automotive dodavatelského řetězce je pak žádán TISAX (rozdíly shrnu v samostatném článku). Dosud jsme pracovali s verzí ISO 27001 z roku 2013, která byla v mnoha ohledech překonána. Nové verze reflektující aktuální stav jsme se dočkali 25/10/2022 a najdete ji zde. V české verzi zatím není dostupná, ale jistě se jí dočkáme.



ISO/IEC 27001:2022 Information Security Management Systems (ISMS)


ISO 27001 nás svými požadavky vede k nastavení systému řízení bezpečnosti informací zejména s pomocí vhodných opatření, která pomohou ochránit klíčové informace společnosti i vašich zákazníků. Zahrnuje veškerá aktiva od dat, přes papírové dokumenty, informační a komunikační technologie až po znalosti. Zahrnuje též rozvoj kvalifikace zaměstnanců a technickou ochranu proti počítačovým podvodům.


Stanovuje požadavky na vytvoření, zavedení, udržování a neustálé zlepšování systému a požadavky na hodnocení a ošetření rizik bezpečnosti informací přizpůsobené potřebám organizace. Požadavky uvedené v tomto dokumentu jsou obecné a mají být použitelné pro všechny organizace bez ohledu na jejich typ, velikost nebo povahu.


Plnění těchto požadavků následně, jako obvykle, prověří nezávislá certifikační autorita (pohlídejte si akreditaci). Ta prověří funkčnost a správnost nastavených opatření a je pro vaše okolí dokladem, že jsou informace u vás chráněny jako v trezoru.





V čem se liší verze 2013 od verze 2022?


Struktura normy jako taková se nezmění, i nadále půjde o tzv. harmonizovanou strukturu tj. strukturu jednotnou pro většinu systémových ISO standardů (kapitola 4-10). Vyloučení žádné z kapitol není přípustné. Změny se týkají zejména přílohy A , kde najdete souhrn všech požadovaných opatření. Na první pohled se zdá, že se jejich počet snížil, ale ve skutečnosti jde o jejich přeskupení a sloučení do logických celků dle vazeb mezi jednotlivými činnostmi. Opatření by se měla snáze aplikovat a auditorům auditovat.

Ze 114 opatření ve 14 oblastech nově 93 opatření ve 4 oblastech

4 skupiny opatření, která musíte zavést v praxi:

  • A.5 - 37 organizačních

  • A.6 - 8 personálních

  • A.7 - 14 fyzických

  • A.8 - 34 technologických


Co je ještě nové?

  • Upřesnění v článcích 4.2, 4.4, 6.2, 7.4, 8.1, 9.1

  • 6.3 Plánování změn - přidáno

  • 7.4 - důraz na způsob komunikace

  • Rozdělení v rámci 9.2 na 9.3

  • Nová struktura 10 Zlepšování


Certifikace


Certifikace podle ISO 27001:2013 je možná do 31/10/2023. Podle nové ISO 27001:2022 lze být certifikován od 25/10/2022. Společnosti certifikované dle 2013 musí přejít na novou verzi do 31/10/2025.



Nedávno jsme zaváděli ISMS ve společnosti FastID, jejíž aplikace pracuje s osobními daty, i když decentralizovanými (tzn. máte je stále ve svých rukách). Jak sami cítíte, v této oblasti je ochrana dat a důvěryhodnost společnosti klíčová. U klienta jsme zaváděli kombinaci ISO 27001 a ISO 9001 (kvalita) a společné části jsme integrovali a ušetřili spoustu času a minimalizovali množství dokumentace. A jsme rádi, že je klient spokojen -)


Rádi vám s přechodem na novou verzi pomůžeme a nebo váš tým seznámíme se změnami formou praktického školení.

Veronika Soukupová

v.soukupova@s-cope.cz

+420 603 171 017

linktr.ee/veronika_soukupova

26 zobrazení0 komentářů

Nejnovější příspěvky

Zobrazit vše