top of page
    • 15. 3. 2023

Změny v normě ISO/IEC 27001:2022

Co se skutečně změnilo v ISO/IEC 27001:2022 a jaké je přechodné období?


V minulém čísle Grade News jsme informovali o revizi standardu ISO/IEC 27001:2022, který byl vydán v říjnu 2022. Přechodné období pokračuje do října 2025. Do té doby musí všichni držitelé certifikátu dle této normy provést upgrade svého systému managementu bezpečnosti informací. Další podrobnosti ohledně přechodného období jsou uvedeny v mandatorním dokumentu IAF MD 26:2023 TRANSITION REQUIREMENTS FOR ISO/IEC 27001:2022.

Důležité milníky přechodného období:


18 měsíců od posledního dne měsíce zveřejnění ISO/IEC 27001:2022, tj. od 30. dubna 2024 mohou být počáteční certifikace a recertifikace prováděny pouze podle ISO/IEC 27001:2022! Kdo chce letos certifikovat ISO/IEC 27001, může tedy ještě využít „starou“ normu (a protože v současné době není ještě k dispozici česká norma a národní akreditační orgán zatím žádnou akreditaci dle nové normy nevydal, dokonce starou normu využít zatím musí).


36 měsíců od posledního dne měsíce zveřejnění ISO/IEC 27001:2022, tj. do 31. října 2025 musí být dokončen přechod certifikovaných firem (nejlépe při některém z dozorových auditů) na ISO/IEC 27001:2022! Pokud např. organizace získá certifikát dle ISO/IEC 27001:2013 v dubnu 2023, nejpozději při druhém dozoru v dubnu 2025 musí provést upgrade svého systému.


Jaké jsou tedy ve skutečnosti klíčové změny v revizi normy? Zde najdete přehled 5 klíčových oblastí změn:


  1. Lehce aktualizovaná terminologie

  2. Aktualizace vydání souvisejících dokumentů uvedených v seznamu literatury, jako jsou ISO/IEC 27002 a ISO 31000

  3. Změna struktury některých částí normy („přeuspořádání“ článků 9.2, 9.3, 10)

  4. Zcela nová kap. 6.3, která definuje, že změny ISMS provede organizace plánovaně

  5. Změny v příloze A (11 opatření přibylo, některá byla sloučena nebo přepracována, opatření jsou uspořádána do skupin). Příloha A nyní zahrnuje 4 oblasti:

    • Organizační opatření

    • Opatření týkající se personální bezpečnosti

    • Opatření týkající se fyzické bezpečnosti

    • Technologická opatření

Mezi příklady nových opatření patří bezpečnost informací při využívání cloudových služeb, připravenost ICT na zajištění kontinuity provozu, monitorování fyzické bezpečnosti, správa konfigurace, bezpečné mazání informací, monitorovací činnosti nebo filtrování webových stránek.


Připravujeme pro vás školení, kde se dozvíte další podrobnosti, již brzy!

24 zobrazení0 komentářů
bottom of page