Přechod na normu ISO/IEC 27001

Norma ISO/IEC 27001 pro systémy řízení bezpečnosti informací poskytuje společnostem rámec pro řízení rizik a ochranu před hrozbami s cílem zajistit bezpečnost informačních aktiv, od finančních informací a duševního vlastnictví až po údaje o zaměstnancích a další.

V dnešní době se informační bezpečnost stává prioritou téměř všech společností. S novými scénáři se mění i naléhavost. Vzhledem k rostoucímu využívání cloudových a automatizačních technologií, kybernetické bezpečnosti, ochrany soukromí, malwaru a ransomwaru jsou společnosti nuceny přehodnotit svůj kontext, hlavní rizika a hrozby a relevantní zainteresované strany strukturovaným a důvěryhodným způsobem.

Vzhledem k tomu, že poslední verze byla vydána v roce 2013, byla nutná nová verze, která by společnostem pomohla orientovat se v nových scénářích a zajistit, aby byly zavedeny aktuální bezpečnostní kontroly.

Revidovaná norma ISO/IEC 27001:2022

Nová verze normy ISO/IEC 27001:2022 se zabývá novými scénáři, kterým musí společnosti čelit. Změny se týkají hlavně přílohy A, jak bylo předvídáno v publikaci ISO/IEC 27002, kde byly přidány, odstraněny nebo sloučeny bezpečnostní kontroly. Změny se vztahují také na aspekty kybernetické bezpečnosti a ochrany soukromí, byl aktualizován jazyk kontrol a přidány další pokyny. To pomáhá společnostem řídit rizika, zajistit, že nic nebude opomenuto, a řádně provádět následná opatření.

Poslední verze byla vydána v roce 2013. Není překvapením, že změny v bezpečnostních kontrolách jsou poměrně významné, přičemž bylo přidáno 11 nových, 58 aktualizováno a 24 sloučeno. Změny se týkají zejména následujících scénářů:

• Zavedení digitálních technologií, jako je cloud a automatizace;
• Nedávné zvýšené využívání těchto technologií;
• Uznání rizik v oblasti kybernetické bezpečnosti a ochrany soukromí;
• Zohlednění měnící se situace v oblasti hrozeb, např. nové typy malwaru a ransomwaru;
• Sladění s dalšími osvědčenými postupy, např. NIST, COBIT atd.
• Aktualizace kontrolního jazyka a přidání dalších pokynů 

Hlavní oblasti, kterých se změny týkají, jsou:

• vedení;
• bezpečnost společnosti;
• IT funkce;
• další podpůrné funkce;
• dodávky (pro poskytovatele služeb). 

Aby byly organizace v souladu s normou, musí přehodnotit svá posouzení rizik a znovu zavést bezpečnostní kontroly.

Kromě změn v kontrolách je vydání z roku 2022 také znovu sladěno s nejnovějšími aktualizacemi struktury ISO High Level Structure (HLS). Tyto změny vycházejí z nejnovější verze přílohy SL směrnic ISO/IEC část 1 (2022). Tyto změny jsou však považovány za nevýznamné, protože vydání z roku 2013 bylo jednou z prvních norem, které přijaly HLS.

Časový harmonogram přechodu

Nová verze normy ISO/IEC 27001 byla vydána 25. října 2022.  Přechodové období je stanoveno na 3 roky.  Současné certifikáty z roku 2013 proto musí být převedeny na novou verzi do 31. října 2025.

Přechodový audit lze provést během jakéhokoli plánovaného auditu během tříletého přechodového období, ale lze jej provést také jako speciální přechodový audit.

Příprava na implementaci

Doporučujeme vám začít s přípravami na přechod co nejdříve a řádně naplánovat začlenění potřebných změn do vašeho systému řízení.

Doporučené kroky pro přechod:

• Seznamte se s obsahem a požadavky nové normy. Zaměřte se na změny, které revidovaná norma přináší.
• Zajistěte, aby příslušní zaměstnanci ve vaší organizaci byli proškoleni a rozuměli požadavkům a klíčovým změnám.
• Identifikujte mezery, které je třeba vyřešit, aby byly splněny nové požadavky, a vytvořte plán implementace.
• Proveďte opatření a aktualizujte svůj systém řízení tak, aby splňoval nové požadavky.   

Jak můžeme pomoci

Ať už máte certifikaci ISO/IEC 27001 nebo jste s touto normou teprve začínáte, DNV vám může pomoci s certifikací a přechodem na systém řízení bezpečnosti informací. Jako přední světová certifikační organizace spolupracujeme s malými i velkými společnostmi po celém světě v oblasti bezpečnosti informací a ochrany soukromí.

Pokud se chystáte přejít z verze 2013 na verzi 2022, můžeme vám pomoci s:

• Školení, kde se dozvíte o revizi a získáte základní přehled o klíčových změnách a procesu přechodu.
• Online nástroje pro sebehodnocení a hodnocení nedostatků na místě/mimo místo, které slouží k měření toho, jak dobře váš systém řízení splňuje nové požadavky.
• Přechodový audit, který zajistí, že vaše certifikace bude v souladu s novou verzí normy.

Můžeme vám pomoci v každé fázi procesu.

Zvažujete certifikaci podle normy ISO/IEC 27001 poprvé? Navštivte naši stránku věnovanou službám v oblasti systémů řízení bezpečnosti informací, kde se dozvíte více o jejich funkcích, výhodách a cestě k certifikaci.