Χρήσιμες Πληροφορίες για την νέα έκδοση του προτύπου ISO27001
Ως κάτοχοι ενεργού πιστοποιητικού ISO/IEC27001 θα πρέπει να οργανώσετε την αναβάθμιση του πιστοποιητικού σας στην καινούργια έκδοση του προτύπου και να προετοιμαστείτε για αυτό με τον κατάλληλο τρόπο, στις συνθήκες που έχει καθορίσει ο International Organization for Standardization (ISO) για αυτήν την εργασία.
Στην συνέχεια υπάρχουν οι απαραίτητες πληροφορίες για να ενημερωθείτε και να προγραμματίσετε τις ενέργειες σας ‘ φυσικά σε περίπτωση που υπάρχουν απορίες ή ανάγκη για διευκρινίσεις, μπορούμε να βοηθήσουμε !
- κυρία Ειρήνη Παπαγεωργοπούλου,
τηλ. 215-2157459
e-mail. ipapageorgopoulou@tuv-nord.com
Χρονοδιάγραμμα μετάβασης από ISO/IEC 27001:2013 στο ISO/IEC 27001:2022
Σαν συνέπεια της πολύχρονής παρουσίας του προτύπου ISO/IEC 27001:2013, των τεχνολογικών εξελίξεων που τρέχουν με πολύ γρήγορους ρυθμούς και της σημαντικής διείσδυσης του προτύπου στην αγορά πιστοποίησης, προέκυψε η ανάγκη για την αναβάθμιση του σε νέα έκδοση.
Από το Φεβρουάριο του 2022 ο International Organization for Standardization (ISO) είχε ανακοινώσει την τελική έκδοση αναθεώρησης του ISO27002 (που περιέχει τις κατευθυντήριες γραμμές για την υλοποίηση του 27001) και είχε προαναγγείλει την αναθεώρηση του προτύπου πιστοποίησης ISO/IEC 27001.
Η νέα έκδοση του προτύπου ISO/IEC 27001:2022 ανακοινώθηκε από τον ISO στις 25/10/2022.
Όπως συνηθίζεται στις αναθεωρήσεις των προτύπων, έχει καθοριστεί 3ετής περίοδος για την μετάβαση στο νέο πρότυπο, με τις ακόλουθες συνθήκες:
- Όλες οι πιστοποιήσεις σύμφωνα με το ISO/IEC 27001:2013 λήγουν ή ανακαλούνται μετά την λήξη της μεταβατικής περιόδου, δηλαδή στις 31.10.2025,
- Επιθεωρήσεις αρχικής πιστοποίησης ή επαναπιστοποίησης σύμφωνα με το ISO/IEC 27001:2013 σταματούν να διενεργούνται μετά τις 30.04.2024 (18 μήνες δηλαδή μετά την έκδοση του προτύπου ISO/IEC 27001:2022).
Σημειώνεται ότι τα πιστοποιητικά που θα εκδίδονται κατά την διάρκεια της μεταβατικής περιόδου θα λαμβάνουν υπόψη την ανωτέρω καταληκτική ημερομηνία (31.10.2025).
- Μετά την 30η Απριλίου 2024 θα πραγματοποιούνται επιθεωρήσεις πιστοποίησης και επαναπιστοποίησης και θα εκδίδονται πιστοποιητικά (νέες πιστοποιήσεις / επαναπιστοποιήσεις) αποκλειστικά σύμφωνα με το πρότυπο ISO/IEC 27001:2022.
Η μετάβαση στο νέο πρότυπο ISO/IEC 27001:2022 θα πρέπει να έχει πραγματοποιηθεί μέχρι τις 31.10.2025 και μπορεί να γίνει στα πλαίσια Επιτήρησης, Επαναπιστοποίησης ή Έκτακτης Επιθεώρησης.
ISO/IEC 27001:2022: Τι αλλάζει στο πρότυπο πιστοποίησης και πως επηρεάζονται οι πιστοποιημένοι Οργανισμοί!
Σε μια ματιά:
Η βασική δομή του προτύπου με τις 10 βασικές παραγράφους δεν έχει κάποια σημαντική αλλαγή, όμως κατά τα λοιπά (Annex A) υπάρχει διαφοροποίηση τόσο στην λογική όσο και τα περιεχόμενα, οπότε επηρεάζει την προσέγγιση στο διαχειριστικό Σύστημα.
Ας μιλήσουμε με νούμερα :
- Δεν υπάρχουν αλλαγές στις βασικές παραγράφους 4-10
- Τα security controls έχουν αλλάξει από 114 σε 93
- Τα security controls είναι χωρισμένα σε 4 γενικούς τομείς αντί 14:
- People (8 controls)
- Organizational (37 controls)
- Technological (34 controls)
- Physical (14 controls)
- Υπάρχουν 11 καινούργια security controls που στην προηγούμενη έκδοση δεν υπήρχαν:
- Threat intelligence
- Information security for use of cloud services
- ICT readiness for business continuity
- Physical security monitoring
- Configuration management
- Information deletion
- Data masking
- Data leakage prevention
- Monitoring activities
- Web filtering
- Secure coding
- Έχουν δημιουργηθεί 5 τύποι χαρακτηριστικών (attributes) που αφορούν στα security controls για την καλύτερη κατηγοριοποίηση τους:
- Control type (preventive, detective, corrective)
- Information security properties (confidentiality, integrity, availability)
- Cybersecurity concepts (identify, protect, detect, respond, recover)
- Operational capabilities (governance, asset management, etc.)
- Security domains (governance and ecosystem, protection, defense, resilience)
Λίστα αντιπαράθεσης παραγράφων
ISO 27002:2022 | ISO 27002:2013 equivalent |
A.5.7 Threat intelligence | A.6.1.4 Contact with special interest groups |
A.5.16 Identity management | A.9.2.1 User registration and de-registration |
A.5.23 Information security for use of cloud services | A.15.x Supplier relationships |
A.5.29 Information security during disruption | A.17.1.x Information security continuity |
A.5.30 ICT readiness for business continuity | A.17.1.3 Verify, review and evaluate information security continuity |
A.7.4 Physical security monitoring | A.9.2.5 Review of user access rights |
A.8.9 Configuration management | A.14.2.5 Secure system engineering principles |
A.8.10 Information deletion | A.18.1.3 Protection of records |
A.8.11 Data masking | A.14.3.1 Protection of test data |
A.8.12 Data leakage prevention | A.12.6.1 Management of technical vulnerabilities |
A.8.16 Monitoring activities | A.12.4.x Logging and monitoring |
A.8.23 Web filtering | A.13.1.2 Security of network services |
A.8.28 Secure coding | A.14.2.1 Secure development policy |