ISO a publicat noua versiune a standardului ISO/IEC 27001 – Information security, cybersecurity and privacy protection — Information security management systems — Requirements.
ISO/IEC 27001:2022 nu este o ediție complet revizuită. Principalele sale modificări includ, dar nu se limitează la:
- Modificarea anexei A care a preluat mijloacele de control din ISO/IEC 27002:2022;
- Notele clauzei 6.1.3 c) sunt revizuite editorial, inclusiv ștergerea obiectivelor aferente mijloacelor de control și utilizarea termenului de “mijloc de control a securității informațiilor” pentru a înlocui termenul “mijloc de control “;
- Reformularea clauzei 6.1.3 d) pentru a elimina ambiguitatea potențială;
- Adăugarea unui nou punct 4.2 c) pentru a determina cerințele părților interesate abordate într-un SMSI;
- Adăugarea unei nou subclauze 6.3-Planificarea modificărilor, care precizează ca modificările aduse SMSI, trebuie efectuează de către organizație într-o manieră planificată;
- Menținerea coerenței verbului utilizat în legătură cu informațiile documentate, de exemplu, utilizarea ” informațiilor documentate trebuie să fie disponibilă ca dovadă a XXX” din clauzele 9.1, 9.2.2, 9.3.3 și 10.2;
- Utilizarea expresiei “procese, produse sau servicii furnizate din exterior” pentru a înlocui “procesele externalizate” din clauza 8.1 și ștergerea termenului “externalizare”;
- Denumirea și reordonarea subclauzelor din clauzele 9.2-Audit intern (Divizarea 9.2 în 9.2.1 Generalități / 9.2.2 Programul de audit) si 9.3-Analiza efectuata de management Divizarea 9.3 în 9.3.1 Generalități / 9.3.2 Intrări ale AEM / 9.3.3 Ieșiri ale AEM);
- Schimbarea ordinii celor două subclauze din clauza 10-Îmbunătățire;
- Actualizarea ediției documentelor enumerate în Bibliografie, cum ar fi ISO/IEC 27002 și ISO 31000;
- Unele abateri din ISO/IEC 27001:2013 de la structura de nivel înalt, textul de bază identic, termenii comuni și definițiile de bază ale standardelor pentru sisteme de management sunt revizuite pentru a menține conformitatea cu structura armonizată prevăzută în Anexa SL, de exemplu, clauza 6.2 d).
Nota 1: Primele două elemente provin din ISO/IEC 27001:2013/AMD1:2022, ultimul element fiind din ISO/IEC 27001:2013/COR 2:2015, al treilea este din ISO/IEC 27001:2013/COR 2:2015 , iar celelalte modificări rezultă din structura armonizată prevăzută de Anexa SL.
Nota 2: Comparativ cu ediția veche, numărul de mijloace de control din ISO/IEC 27002:2022 scade de la 114 mijloace de control în 14 grupe la 93 de mijloace de control în 4 grupe (11 mijloace de control sunt noi, 24 de mijloace de control sunt îmbinate din mijloacele de control existente și 58 de mijloace de control sunt actualizate).
Aflați principalele modificări și calendarul tranziției din materialul Modificări ale ISO 27001:2022, semnat de Dr. ing. Cristian RONCEA, Director Tehnic SRAC.