21.08.2023
Zgodność z normą ISO/IEC 27001 jest niezbędna dla przedsiębiorstw dowolnej wielkości z jakiejkolwiek branży. Norma ta stanowi niezastąpiony poradnik dotyczący opracowywania, wdrażania, utrzymywania i ciągłego doskonalenia systemów zarządzania bezpieczeństwem informacji.Każda osoba zainteresowana tym tematem wie już o pojawieniu się nowej wersji normy ISO/IEC 27001. W tym artykule przedstawimy wszystkie nowości ze zaktualizowanej wersji normy ISO/IEC 27001:2022 wydanej w październiku 2022 roku.
Zestaw mechanizmów kontroli bezpieczeństwa opublikowano już w lutym 2022 roku, co świadczy o tym, że zmiany w nowej normie opracowano z wyprzedzeniem.
Mówiąc ogólnie, norma ISO/IEC 27001:2022 przedstawia opis struktury systemu zarządzania bezpieczeństwem informacji (SZBI), który mogą wykorzystywać firmy o dowolnej wielkości i z dowolnej branży.System zarządzania bezpieczeństwem informacji (SZBI) ma kluczowe znaczenie, ponieważ kwestie zarządzania ryzykiem są niezwykle istotne dla wielu firm. W dzisiejszym świecie, w którym nowe zagrożenia cybernetyczne pojawiają się niemal codziennie, a ciągłe zmiany stają się normą, zdolność firmy do zapewnienia bezpieczeństwa swoich danych i procesów biznesowych liczy się coraz bardziej. Istotną umiejętnością staje się ujawnianie zagrożeń i skuteczne zarządzanie nimi.
Nowa wersja normy kładzie nacisk na najlepsze praktyki zarządzania ryzykiem. Wykaz mechanizmów kontroli bezpieczeństwa informacji zawarty w oficjalnym Załączniku A do normy ISO/IEC 27001:2022 oparty jest w pełni na zaktualizowanej normie ISO/IEC 27002:2022.
Norma ISO/IEC 27001:2022 wprowadza pewne nowości i modyfikacje w porównaniu z poprzednią wersją. 
Przyjrzyjmy się niektórym kluczowym zmianom, na które warto zwrócić uwagę. Zacznijmy od najważniejszego — zmian w systemie zarządzania.Treść obowiązkowych punktów od 4 do 10 zmieniła się nieznacznie, głównie w celu zapewnienia zgodności z normami ISO 9001, ISO 14001 i innymi standardami dotyczącymi systemów zarządzania. 
Oto elementy normy ISO 27001:2022, które uległy zmianom:
● Do punktu 4.2 „Zrozumienie potrzeb i oczekiwań zainteresowanych stron” dodano nowy podpunkt (c). Zmiana ta wprowadza konieczność dokonania analizy w celu określenia, które wymogi zainteresowanych stron należy spełnić za pomocą systemu zarządzania bezpieczeństwem informacji (SZBI). Sprzyja to uwzględnieniu różnych oczekiwań stron, które wpływają na bezpieczeństwo informacji w organizacji.● Zmianom uległ także punkt 4.4 „System zarządzania bezpieczeństwem informacji”. Dodano zdanie mówiące o konieczności planowania procesów i ich wzajemnego oddziaływania w ramach systemu zarządzania bezpieczeństwem informacji (SZBI). Podkreśla to istotność usystematyzowanego i ustalonego podejścia do zarządzania bezpieczeństwem informacji w ramach organizacji.● Do punktu 5.3 „Role, obowiązki i uprawnienia w organizacji” dodano zdanie, które doprecyzowuje, że wymiana ról odbywa się wewnątrz organizacji. Podkreśla to wewnętrzną dynamikę i współdziałanie różnych ról w ramach procesów zarządzania bezpieczeństwem informacji.● Do punktu 6.2 „Cele bezpieczeństwa informacji i planowanie ich osiągnięcia” dodano nowy podpunkt (d) zawierający wymóg monitorowania, czy cele bezpieczeństwa informacji są osiągane. Oznacza to konieczność systematycznej kontroli i oceny skuteczności realizacji określonych celów w ramach systemu zarządzania bezpieczeństwem informacji.● Punkt 6.3 „Planowanie zmian” zmodyfikowano, by wskazać, że wprowadzanie zmian w systemie zarządzania bezpieczeństwem informacji (SZBI) powinno odbywać się według określonego planu. Podkreśla to istotność zorganizowanego, usystematyzowanego podejścia do wprowadzania zmian w systemie w celu zagwarantowania jego skuteczności i bezpieczeństwa.● Punkt 7.4 „Komunikacja” zmodyfikowano, usuwając podpunkt (d), który stawiał wymóg istnienia procedur komunikacji. Zmiana ta może wskazywać na większą elastyczność w podejściu do porządkowania procesów komunikacji w SZBI.● Punkt 8.1 „Planowanie i nadzór nad działaniami operacyjnymi” uzupełniono o wymogi przewidujące ustalenie kryteriów dla procesów związanych z bezpieczeństwem oraz zapewnianie ich realizacji zgodnie z tymi kryteriami. Do tego punktu dodano także wymóg wdrażania planów do osiągnięcia celów.● Zmiany te wpłynęły na punkt 9.3 „Przegląd zarządzania”. Dodano nowy podpunkt 9.3.2 (c), który określa, że dane wejściowe pochodzące od zainteresowanych stron powinny odzwierciedlać ich potrzeby i oczekiwania oraz dotyczyć aspektów bezpieczeństwa informacji.● Ostatnią zmienioną częścią jest punkt 10 „Poprawa”. Podpunkty zamieniono miejscami — pierwszym jest teraz „Ciągłe doskonalenie” (10.1), a drugim — „Niezgodności i działania korygujące” (10.2). Treść tych podpunktów nie zmieniła się.
Początkowo może się wydawać, że Załącznik A uległ znacznym zmianom. Liczba elementów zarządzania zmniejszyła się ze 114 do 93. Załącznik ma teraz 4 rozdziały zamiast 14 w poprzedniej wersji z 2013 roku. Jednak po dokładniejszej analizie okazuje się, że zmiany w Załączniku A są nieznaczne.
Dodano nowe elementy — mechanizmy kontroli organizacyjnej i fizycznej. Należy podkreślić, że nie usunięto żadnego elementu zarządzania, lecz wiele z nich połączono, przez co ich całkowita liczba jest mniejsza. Warto też zaznaczyć, że do łatwiejszego wyszukiwania i przeglądania można teraz wykorzystywać hashtagi. 
W normie ISO/IEC 27001:2022 usunięto cele kontroli, a środki przeanalizowano, zaktualizowano i uzupełniono. Dzięki temu wykaz środków kontroli w Załączniku A jest teraz bardziej zrozumiały, aktualny i uporządkowany według czterech podstawowych domen:1. Organizacyjne (Process and Policies) (obejmuje 37 środków);2. Ludzkie (People) (obejmuje 8 środków);3. Fizyczne (Physical) (obejmuje 14 środków);4. Technologiczne (Technological) (obejmuje 34 środki). 
W Załączniku A nowej wersji normy ISO 27001:2022 są teraz 93 środki kontroli, w tym 11 nowych:1. Analiza zagrożeń2. Bezpieczeństwo informacji przy korzystaniu z usług w chmurze3. Gotowość teleinformatyczna do zapewnienia ciągłości działania4. Monitorowanie bezpieczeństwa fizycznego5. Zarządzanie konfiguracją6. Usuwanie informacji7. Maskowanie danych8. Zapobieganie wyciekom danych9. Monitorowanie aktywności10. Filtrowanie sieci11. Bezpieczne kodowanie 
Załącznik A ogranicza się do wymienienia środków kontroli. Jednak wskazówki co do wdrożenia normy ISO/IEC 27002:2022 dają możliwość klasyfikacji tych środków. Dla każdego środka kontroli określono pięć atrybutów, które można wykorzystywać do filtrowania lub sortowania.Typ środka kontroli.Atrybut określający środki kontroli z punktu widzenia ich wpływu na ryzyko dla bezpieczeństwa informacji.Właściwości bezpieczeństwa informacji. Atrybut środków kontroli z punktu widzenia ich celów. Koncepcje cyberbezpieczeństwa.Atrybut analizujący wzajemne powiązania środków kontroli ze strukturą cyberbezpieczeństwa opisaną w normie ISO/IEC TS 27110.Zdolność operacyjna.Atrybut oceniający przydatność środków kontroli w kontekście bezpieczeństwa informacji.Domeny bezpieczeństwa. Atrybut analizujący środki kontroli z punktu widzenia czterech domen bezpieczeństwa informacji.
Aby zapewnić zgodność z nowymi wymaganiami normy ISO 27001:2022, należy wykonać cztery podstawowe kroki.● Krok pierwszy — analiza rejestru zagrożeń i stosowanych sposobów postępowania z nimi w celu zapewnienia zgodności ze zaktualizowaną normą.● Krok drugi — analiza deklaracji stosowalności (SoA) w celu zapewnienia jej zgodności ze zaktualizowanym Załącznikiem A.● Krok trzeci — analiza i aktualizacja dokumentacji, w tym polityk i procedur, w celu zapewnienia zgodności z nowymi wymaganiami w zakresie kontroli.● Krok czwarty — przejście audytu zgodności z nową wersją normy ISO 27001:2022. 
Certyfikat ISO jest ważny przez 3 lata, a w 2. i 3. roku należy obowiązkowo przeprowadzić audyty nadzorcze. Są to — w przeciwieństwie do pełnych audytów systemowych — skrócone oceny dokonywane, by sprawdzić, czy system zarządzania certyfikowanego klienta jest wciąż zgodny z wymaganiami normy ISO 27001.
Co stanie się z firmami, które przeszły certyfikację zgodnie z poprzednią wersją normy ISO 27001:2013?
Nie trzeba się martwić, ponieważ starą wersję normy można wykorzystywać do 31 października 2025 roku, a później każdy audyt ISO 27001 powinien już bazować na nowej wersji.Również firmy, które planują przeprowadzić certyfikację w najbliższym czasie, mogą do 30.04.2024 roku otrzymać certyfikat zgodności ze starą wersją, ale będą musiały w ciągu pierwszego roku przejść na nową wersję ISO/IEC 27002:2022. Nadzór techniczny także będzie przeprowadzany zgodnie z nową wersją.
Zalecamy naszym klientom przygotowanie się i otrzymanie certyfikatu zgodności z nową normą. W przypadku chęci dokonania certyfikacji zgodności z poprzednią wersją efektem może być konieczność podwójnego przygotowania się i audytu. Zapraszamy na spotkanie, podczas którego przeanalizujemy możliwości i opracujemy specjalnie dla Państwa firmy plan otrzymania certyfikatu zgodności z normą ISO/IEC 27002:2022.