Изисквания за преход към ISO/IEC 27001:2022

На 15. 02. 2023 г. Международния акредитационен форум / IAF/ публикува версия 2 на задължителен документ IAF MD 26:2022 – Изисквания за преход към ISO/IEC 27001:2022.

Документът подробно обосновава необходимостта от публикуването на нова версия на стандарта за сигурност на информацията ISO/IEC 27001, както и представя синтезирано някои от съществените промени, въведени с  третото издание на стандарта.

С IAF MD 26:2023, Международният акредитационен форум установява 36 месечен преходен период, т.е. до  31.10. 2025 г., след изтичането на който, издадените сертификати съгласно ISO 27001:2013 ще загубят своята валидност.

Поставените в IAF MD 26:2023 изисквания са задължителни както за  Акредитационните служби на държавите членки, подписали многостранното споразумение за взаимно признаване на сертификацията- IAF MLA, така и за органите за сертификация на системи за управление.

В срок до 31. 10. 2023 г. се очаква да приключи процеса на оценяване на готовността и способността на органите за сертификация на системи за управление да осъществяват своите сертификационни дейности в съответствие с новите изисквания на ISO/IEC 27001:2022. До приключването на този процес и до официалното удостоверяване на правомощията на  органите за сертификация, същите не следва да провеждат одити съобразно новата версия на стандарта за информационна сигурност.

С посочения задължителен документ на  IAF е установено и друго изискване, касаещо всички организации, сертифицирали своите  системи за управление на сигурността на информацията /СУСИ/ или такива, на които предстои реализацията на подобно решение. След 30.04. 2023 г.  подновяването на  сертификацията на вече сертифицирани организации, както и първоначална сертификация ще се осъществява единствено по новото трето издание на стандарта – ISO/IEC 27001:2022. При всички случаи преходите и удостоверяването на съответствието с новата версия на стандарта трябва да бъдат приключени до 31. 10. 2025 г.

Какви са условията, при които следва да бъде извършена миграцията.

За целите на прехода, между органа за сертификация и неговите клиенти следва да бъде подписано преходно споразумение, уреждащо изискванията и към двете страни. Органът за сертификация следва да легитимира своите акредитационни права, както и да осигури компетентен екип за провеждането на одит за преход към ISO/IEC 27001:2022. Одитът за преход може да бъде проведен като самостоятелен такъв или по време на планиран годишен надзорен одит или такъв за подновяване на сертификацията. За изпълнение на целите на одита, продължителността на същия ще бъде индивидуално определена, но допълнителното време за одит, съгласно IAF MD 26:2023 не би могло да бъде по- малко от 1 човекоден – в случай когато одитът за преход се провежда като самостоятелен такъв или по време на планиран надзорен одит, и не по- малко от 0,5 човекодни- ако преходът ще бъде удостоверен по време на  одит за подновяване на сертификацията. Подходът на  СИ ЕС БИ ЕООД  за това е установен в разработената и утвърдена Политика за преход.

Специфичните задачи, които трябва да бъдат решени по време на одита за преход са свързани с анализа на разликите между отменената и новата версия на ISO/IEC 27001:2022 и необходимостта от промени в СУСИ, направен от всяка една организация, в т.ч.  актуализиране на декларацията за приложимост, а при необходимост и на плана за третиране на риска. Обект на одита за преход трябва да бъде прилагането на новите и променени контроли, избрани от клиента и оценка на тяхната ефикасност по отношение на сигурността на информацията.

IAF MD 26:2023 допуска възможността одита за преход да бъде проведен и  дистанционно, доколкото по този начин би могло да се гарантира, че неговите цели са изпълнени. В т. см. същият ще обхваща не само  прегледа на документи, но и всички останали способи, чрез които може да се провери прилагането на контролите за сигурност и най- вече на технологичните такива.