На 25.10.2022 г. е публикувана новата версия на международния стандарт ISO/IEC 27001:2022.
„Сигурност на информацията, киберсигурност и защита на поверителността. Системи за управление на сигурността на информацията. Изисквания“.
Отменена е досегашната версия на стандарта 27001 от 2013, претърпяла 2 последователни корекции – Cor 1:2014 и Cor 2:2015. Българското издание на стандарта БДС ISO/IEC 27001:2022 е публикувано на 15.11.2022 г.
Основните промени в новата трета версия на стандарта са продиктувани от необходимостта съдържанието на същия да бъде приведено в съответствие:
- с хармонизираната структура на стандартите за системи за управление /ISO 9001, 14001, 45001, 39001 и др./ и
- с ISO/IEC 27002:2022 – Информационна сигурност, киберсигурност и защита на поверителността — Контрол на информационната сигурност
След 30.10.2025 год., издадените сертификати по ISO/IEC 27001:2013 губят автоматично своята валидност.
Съгласно задължителен документ на Международния акредитационен форум [IAF] от 09.08.2022 год., IAF MD 26:2022 за преход на системите за управление ISO/IEC 27001:2022, организациите внедрили посочената система за управление следва да предприемат действие за преход към изискванията на новата версия на същия.
С оглед поддържане валидността на предоставената от CSB Ltd. акредитирана сертификация по ISO/IEC 27001:2013 /БДС EN ISO/IEC 27001:2017, в рамките на текущия сертификационен цикъл е необходимо системата за управление на сигурността на информацията /СУСИ/ на вече сертифицираните организации да бъде транзитирана спрямо изискванията на новата версия на стандарта.
Подготовката за прехода към новата версия включва:
Запознаване с изискванията на 3-та версия на стандарт 27001 , в т.ч. на промените в нормативно Приложение А- Референтни контроли на сигурността на информацията;
Анализ на промените, въведени с ISO/IEC 27001:2022, в т.ч. на необходимостта от промени с Системата за управление на сигурността на информацията;
Актуализиране на Декларацията за приложимост, а при необходимост и на Плана за третиране на риска;
- Изготвяне на план за внедряване на измененията;
Прилагане на новите и променени контроли съгласно Приложение А и Декларацията за приложимост;
Анализ и оценка на ефикасността на внедрените нови и променени контроли; анализ и оценка на ефикасността на промените в СУСИ.
След 31. 10. 2023 г. CSB Ltd. ще осъществява дейности по първоначално сертифициране на системи за управление на сигурността на информацията само по новото издание на стандарта- ISO/IEC 27001:2022.
При заявена готовност от страна организациите, сертифицирани по ISO/IEC 27001:2013, CSB Ltd. ще предприеме действия по планирането и провеждането на одити за преход към изискванията на ISO/IEC 27001:2022.
За целите на прехода е необходимо в срок не по- късно от 31.10.2024 год. организациите, сертифицирани по ISO/IEC 27001:2013 /БДС EN ISO/IEC 27001:2017/, да заявят готовността си за провеждането на одит за преход на системата спрямо изискванията на новата версия на стандарта.
Удостоверяване на съответствието към изискванията на ISO/IEC 27001:2022 може да бъде извършено по време на планиран надзорен одит или по време на извънреден одит за преход.
В резултат на одита, при констатирано съответствие на системата с изискванията на новата версия на стандарта, CSB Ltd. ще потвърди валидността на сертификацията до края на текущия сертификационен цикъл, като ще преиздаде сертификата съгласно ISO ISO/IEC 27001:2022.
В случай, че подновяването на сертификацията /ресертификацията/ следва да бъде осъществено след 30.10.2023 г. и преди изтичането на крайния срок на миграционния процес, одитът за преход към изискванията на ISO/IEC 27001:2022 трябва да бъде осъществен по време на предстоящия за организацията ресертификационен одит.
За установяване на съответствието на системата за управление на сигурността на информацията с изискванията на новата версия на стандарта, органът за сертификация ще извърши увеличаване на времето за одит съобразно нивото на комплексност на всяка една организация, отчитайки факторите, свързани с бизнес сектора и тези свързани с IT средата в организацията, което не може да бъде по-малко от 0,5 човеко дни, в случай, че преходът се осъществява по време на ресертификационен одит и не по- малко от 1 ч.д. – при осъществяване на прехода по време на надзорен или извънреден одит.
Ръководството на CSB Ltd. изразява готовността си да съдейства по провеждането на описания по- горе миграционен процес чрез организирането и провеждането на специализирани обучения за запознаване с изискванията на ISO/IEC 27001:2022, в т.ч. и такива, касаещи процеса на преход на системата към новите изисквания.
Оставете коментар