Standard sustava upravljanja informacijskom sigurnošću ISO/IEC 27001 pruža tvrtkama okvir za upravljanje rizicima i zaštitu od prijetnji kako bi informacijska imovina, od financijskih informacija i intelektualnog vlasništva do podataka o zaposlenicima i još mnogo toga bila sigurna.
Danas se informacijska sigurnost nalazi na većini dnevnog reda svake tvrtke. S novim scenarijima hitnost se mijenja. Između povećanog usvajanja tehnologija oblaka i automatizacije, samo kibernetičke sigurnosti, privatnosti, zlonamjernog softvera i ransomwarea, tvrtke su prisiljene preispitati svoj kontekst, glavne rizike i prijetnje te relevantne dionike na strukturiran i pouzdan način.
S posljednjom verzijom objavljenom 2013. godine bila je potrebna nova verzija kako bi se tvrtke lakše kretale novim scenarijima i osigurale uspostavu trenutnih sigurnosnih kontrola.
Revidirana ISO/IEC 27001:2022
Nova verzija ISO/IEC 27001:2022 bavi se novim scenarijima s kojima se tvrtke moraju uhvatiti u koštac. Promjene su uglavnom u Prilogu A, predviđenom objavom norme ISO/IEC 27002, u kojoj su sigurnosne kontrole dodane, izbrisane ili spojene. Promjene se proširuju na aspekte kibernetičke sigurnosti i privatnosti, a jezik kontrola se osvježava i dodaje dodatne smjernice. To pomaže tvrtkama u upravljanju rizicima, osiguravanju da ništa nije propušteno i uredno praćenje.
Posljednja verzija izdana je 2013. godine. Nije iznenađujuće da su promjene sigurnosnih kontrola prilično značajne s 11 novih, 58 ažuriranih i 24 spojenih. Scenariji koji se posebno mijenjaju su:
- Uvođenje digitalnih tehnologija kao što su oblak i automatizacija
- Nedavno, povećano usvajanje takvih tehnologija
- Prepoznavanje kibernetičkih rizika i rizika vezanih za privatnost
- Promjenjivo okruženje prijetnji, npr. nove vrste zlonamjernog softvera i ransomwarea
- Usklađivanje s drugim najboljim praksama, npr. NIST, COBIT itd.
- Osvježavanje jezika kontrola i dodavanje dodatnih smjernica
Glavna područja obuhvaćena promjenama su:
- vodstvo
- korporativna sigurnost
- IT funkcija
- ostale funkcije podrške
- isporuka (za pružatelje usluga).
Da bi bile usklađene, organizacije moraju ažurirati svoje procjene rizika i redefinirati sigurnosne kontrole. Uz promjene kontrola, izdanje 2022. također je usklađeno s najnovijim ažuriranjima ISO strukture visoke razine (HLS). Ove se promjene temelje na posljednjoj verziji Aneksa SL ISO/IEC Direktiva Dio 1 (2022). Međutim, te se promjene smatraju manjim, budući da je izdanje iz 2013. bilo jedno od prvih normi koje su usvojile HLS.
Vremenska crta tranzicije
Nova verzija ISO/IEC 27001 objavljena je 25. listopada 2022. Prijelazno razdoblje postavljeno je na 3 godine. Stoga se aktualni certifikati iz 2013. moraju prenijeti na novu verziju do 31. listopada 2025.
Prijelazni audit može se provesti tijekom bilo kojeg zakazanog audita tijekom trogodišnjeg prijelaznog razdoblja, ali se može provesti i kao poseban prijelazni audit.
Priprema za implementaciju
Preporučamo Vam da se za tranziciju počnete pripremati što je ranije moguće i da pravilno isplanirate uključivanje potrebnih promjena u svoj sustav upravljanja.
Preporučeni koraci za tranziciju:
- Upoznajte se sa sadržajem i zahtjevima nove norme. Usredotočite se na promjene koje implicira revidirana norma.
- Osigurajte da su relevantni zaposlenici u vašoj organizaciji educirani i da razumiju zahtjeve i ključne promjene.
- Identificirajte nedostatke koje je potrebno riješiti kako bi se ispunili novi zahtjevi i izradito plan provedbe.
- Provedite akcije i ažurirajte svoj sustav upravljanja kako bi zadovoljio nove zahtjeve.
Kako Vas možemo podržati?
Bez obzira jeste li trenutno certificirani prema ISO/IEC 27001 ili tek upoznajete sa normom, DNV može podržati Vašu certifikaciju sustava upravljanja informacijskom sigurnošću i tranziciju na novu verziju.
Kao vodeće svjetsko certifikacijsko tijelo, surađujemo s malim i velikim tvrtkama za potrebe njihove informacijske sigurnosti i privatnosti diljem svijeta.
Ako se spremate prijeći s verzije 2013 na verziju 2022, možemo vas podržati s:
- Obukom na kojoj učite o reviziji same norme i dobivate osnovni pregled ključnih promjena i tranzicijskih procesa.
- Online alatima za samoprocjenu i procjenom stanja/ GAP analizom na lokaciji/izvan lokacije klijenta kako biste ustanovili koliko dobro vaš sustav upravljanja ispunjava nove zahtjeve.
- Tranzicijskim auditom za usklađivanje vaše sustava upravljanja s novom verzijom norme.
Možemo Vas podržati na svakom koraku.
Prvi put istražujete certifikaciju prema ISO/IEC 27001? Posjetite našu stranicu usluge sustava upravljanja informacijskom sigurnošću kako biste saznali više o njenim značajkama, prednostima i o samom putu do certifikacije.
