Aktualizacja normy ISO 27001:2022 – co się zmieniło?

Normalną praktyką jest aktualizacja ISO przez Międzynarodową Organizację Normalizacyjną. Regularny przegląd i nanoszenie zmian w ISO ma lepiej dopasowywać je do obowiązujących realiów, sytuacji geopolitycznej i rozwoju technologii. Zmiany nastąpiły także w przypadku normy 27001. Nowa postać normy została opublikowana 25 października 2022 roku i przyniosła sporo zmian. Jakie znaczenie dla organizacji mają te zmiany? Czy wymagają totalnego przebudowania dotychczasowych działań?


Czego dotyczy norma 27001?


Norma ISO/IEC 27001 dotyczy systemu zarządzania bezpieczeństwem informacji i danych w danej organizacji. ISO 27001 jest skierowane do wszystkich przedsiębiorstw i organizacji, niezależnie od ich wielkości czy branży, w jakiej działają. W szczególności jednak wdrożenie certyfikatu ISO przyniesie korzyści w organizacjach, które na co dzień przechowują i operują dużą ilością danych wrażliwych. Bezpieczeństwo informacji powinno być kwestią nadrzędną.


Norma ISO 27001 pozwala uporządkować i udoskonalić zarządzanie bezpieczeństwem informacji. Treść normy określa, a jaki sposób wdrożyć i ciągle doskonalić system zarządzania bezpieczeństwem informacji. Struktura normy ISO 27001 zawiera również wytyczne dotyczące ryzyka związanego z bezpieczeństwem informacji i postępowania z tym związanego.


Wdrożenie ISO 27001 w organizacji pozwala na bardziej świadome i uporządkowane zarządzanie bezpieczeństwem informacji. Stanowi to istotny sygnał dla partnerów biznesowych i innych podmiotów na temat zarządzania informacją w tej firmie. Certyfikacja ISO 27001 nie tylko pozwala zminimalizować ryzyka i niebezpieczeństwa związane z zarządzaniem informacjami, ale także umacnia pozycję na rynku i zwiększa zaufanie wobec danej firmy, przedstawiając ją jako godnego zaufani partnera.


Nowelizacja ISO 27001 - najistotniejsze zmiany


Zmiany w normie ISO 27001 możemy zauważyć już na samym początku. Po nowelizacji nazwa normy brzmi ISO/IEC 27001:2022 - Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności. Kluczowe zmiany dotyczą załącznika A - m.in. wprowadzono poprawki redakcyjne w celu wyeliminowania ewentualnych niejednoznaczności. Zmianie uległa przede wszystkim liczba elementów sterujących - zamiast 114 podzielonych na 14 sekcji, mamy aktualnie 93 przyporządkowanych do 4 sekcji. Część elementów została zaktualizowana, a część połączona. 4 nowe sekcje ułatwiają poruszanie się w zagadnieniach normy. Obejmują one następujące tematy:



  • Zabezpieczenie osób - dotyczące pojedynczych osób (np. umowa o zachowaniu poufności, praca zdalna)
  • Zabezpieczenia organizacyjne - dotyczące organizacji, polityki informacyjnej, korzystania z chmury przechowującej dane
  • Zabezpieczenia fizyczne - dotyczące obiektów fizycznych, nośników danych, zabezpieczenie obiektów i biur, sprzętu elektronicznego
  • Zabezpieczenia technologiczne - dotyczące technologii wykorzystywanej w organizacji, usuwania informacji, zapobieganie wyciekom, uwierzytelnianie.

    • Do struktury ISO 27001:2022 dodano także 11 zupełnie nowych elementów, m.in. analizę zagrożeń, usuwanie informacji, gotowość teleinformatyczna do zapewnienia ciągłości działania, maskowanie danych, filtrowanie sieci, zapobieganie wyciekom danych czy bezpieczne kodowanie.


    Co nowelizacja ISO 27001:2022 oznacza dla organizacji?


    Przy okazji nowelizacji ISO 27001 opublikowany został także dokument Wymogi przejściowe dla ISO/IEC 27001:2022, zgodnie z którym organizacje mają 36 miesięcy na wdrożenie niezbędnych zmian i dostosowanie działania do nowych wytycznych Systemy Zarządzania Bezpieczeństwem Informacji (SZBI). Najlepszym rozwiązaniem jest przejście na nową wersję normy jeszcze przed kolejnym audytem recertyfikującym. Pozwoli to odpowiednio wcześniej przygotować firmę na zmiany i bezstresowo wdrożyć aktualną normę.


    Chcesz dowiedzieć się więcej o wdrożeniu zaktualizowanej normy ISO 27001 w Twoim przedsiębiorstwie lub organizacji? Zapraszamy do kontaktu!