Jak přispívá k bezpečnosti informací v organizaci? V čem se liší od verze 2013? A do kdy musíte přejít na novou verzi, když máte certifikát dle ISO 27001:2013?
Systém řízení bezpečnosti informací (ISMS) dle ISO 27001 je v poslední době u nás v S-cope s.r.o. hned po ISO 9001 ten nejžádanější. Zejména proto, že význam informační a kybernetické bezpečnosti roste každým dnem. Často je i požadavkem zákazníků. V případě automotive dodavatelského řetězce je pak žádán TISAX (rozdíly shrnu v samostatném článku). Dosud jsme pracovali s verzí ISO 27001 z roku 2013, která byla v mnoha ohledech překonána. Nové verze reflektující aktuální stav jsme se dočkali 25/10/2022 a najdete ji zde. V české verzi zatím není dostupná, ale jistě se jí dočkáme.
ISO/IEC 27001:2022 Information Security Management Systems (ISMS)
ISO 27001 nás svými požadavky vede k nastavení systému řízení bezpečnosti informací zejména s pomocí vhodných opatření, která pomohou ochránit klíčové informace společnosti i vašich zákazníků. Zahrnuje veškerá aktiva od dat, přes papírové dokumenty, informační a komunikační technologie až po znalosti. Zahrnuje též rozvoj kvalifikace zaměstnanců a technickou ochranu proti počítačovým podvodům.
Stanovuje požadavky na vytvoření, zavedení, udržování a neustálé zlepšování systému a požadavky na hodnocení a ošetření rizik bezpečnosti informací přizpůsobené potřebám organizace. Požadavky uvedené v tomto dokumentu jsou obecné a mají být použitelné pro všechny organizace bez ohledu na jejich typ, velikost nebo povahu.
Plnění těchto požadavků následně, jako obvykle, prověří nezávislá certifikační autorita (pohlídejte si akreditaci). Ta prověří funkčnost a správnost nastavených opatření a je pro vaše okolí dokladem, že jsou informace u vás chráněny jako v trezoru.
V čem se liší verze 2013 od verze 2022?
Struktura normy jako taková se nezmění, i nadále půjde o tzv. harmonizovanou strukturu tj. strukturu jednotnou pro většinu systémových ISO standardů (kapitola 4-10). Vyloučení žádné z kapitol není přípustné. Změny se týkají zejména přílohy A , kde najdete souhrn všech požadovaných opatření. Na první pohled se zdá, že se jejich počet snížil, ale ve skutečnosti jde o jejich přeskupení a sloučení do logických celků dle vazeb mezi jednotlivými činnostmi. Opatření by se měla snáze aplikovat a auditorům auditovat.
Ze 114 opatření ve 14 oblastech nově 93 opatření ve 4 oblastech
4 skupiny opatření, která musíte zavést v praxi:
A.5 - 37 organizačních
A.6 - 8 personálních
A.7 - 14 fyzických
A.8 - 34 technologických
Co je ještě nové?
Upřesnění v článcích 4.2, 4.4, 6.2, 7.4, 8.1, 9.1
6.3 Plánování změn - přidáno
7.4 - důraz na způsob komunikace
Rozdělení v rámci 9.2 na 9.3
Nová struktura 10 Zlepšování
Certifikace
Certifikace podle ISO 27001:2013 je možná do 31/10/2023. Podle nové ISO 27001:2022 lze být certifikován od 25/10/2022. Společnosti certifikované dle 2013 musí přejít na novou verzi do 31/10/2025.
Nedávno jsme zaváděli ISMS ve společnosti FastID, jejíž aplikace pracuje s osobními daty, i když decentralizovanými (tzn. máte je stále ve svých rukách). Jak sami cítíte, v této oblasti je ochrana dat a důvěryhodnost společnosti klíčová. U klienta jsme zaváděli kombinaci ISO 27001 a ISO 9001 (kvalita) a společné části jsme integrovali a ušetřili spoustu času a minimalizovali množství dokumentace. A jsme rádi, že je klient spokojen -)
Rádi vám s přechodem na novou verzi pomůžeme a nebo váš tým seznámíme se změnami formou praktického školení.
Veronika Soukupová
+420 603 171 017