Αναθεώρηση του προτύπου ISO/ IEC 27001

/ / Δημοσιεύτηκε στην Κατηγορία Ξενοδοχείο

Αναθεώρηση του προτύπου ISO/ IEC 27001

Χρονοδιάγραμμα μετάβασης από το ISO/IEC 27001:2013 στο ISO/IEC 27001:2022

Χρήσιμες Πληροφορίες για την νέα έκδοση του προτύπου ISO27001

Ως κάτοχοι ενεργού πιστοποιητικού ISO/IEC27001 θα πρέπει να οργανώσετε την αναβάθμιση του πιστοποιητικού σας στην καινούργια έκδοση του προτύπου και να προετοιμαστείτε για αυτό με τον κατάλληλο τρόπο, στις συνθήκες που έχει καθορίσει ο International Organization for Standardization (ISO) για αυτήν την εργασία.

Στην συνέχεια υπάρχουν οι απαραίτητες πληροφορίες για να ενημερωθείτε και να προγραμματίσετε τις ενέργειες σας

Χρονοδιάγραμμα μετάβασης από ISO/IEC 27001:2013 στο ISO/IEC 27001:2022

Σαν συνέπεια της πολύχρονής παρουσίας του προτύπου ISO/IEC 27001:2013, των τεχνολογικών εξελίξεων που τρέχουν με πολύ γρήγορους ρυθμούς και της σημαντικής διείσδυσης του προτύπου στην αγορά πιστοποίησης, προέκυψε η ανάγκη για την αναβάθμιση του σε νέα έκδοση.

 Από το Φεβρουάριο του 2022 ο International Organization for Standardization (ISO) είχε ανακοινώσει την τελική έκδοση αναθεώρησης του ISO27002 (που περιέχει τις κατευθυντήριες γραμμές για την υλοποίηση του 27001) και είχε προαναγγείλει την αναθεώρηση του προτύπου πιστοποίησης ISO/IEC 27001.

Η νέα έκδοση του προτύπου ISO/IEC 27001:2022 ανακοινώθηκε από τον ISO στις 25/10/2022.

Όπως συνηθίζεται στις αναθεωρήσεις των προτύπων, έχει καθοριστεί 3ετής περίοδος για την μετάβαση στο νέο πρότυπο, με τις ακόλουθες συνθήκες:

 Είδος επιθεώρησηςΈκδοση προτύπουΕπιτρέπονται απόΙσχύς πιστοποιητικών έωςΣχόλια
Υπάρχουσες πιστοποιήσεις /ΑνανεώσειςISO/IEC 27001:20133ετία31/10/2025Μετά την 31/10/2025 θα γίνει ανάκληση  για τα πιστοποιητικά με ISO/IEC 27001:2013
Αρχικές πιστοποιήσεις με την παλαιά έκδοσηISO/IEC 27001:201325/10/202231/10/2025Επιτρέπονται αρχικές πιστοποιήσεις με το παλαιό πρότυπο μέχρι 31/10/2023, όμως περιορίζεται η λήξη ισχύος τους μέχρι 31/10/2025 (ανεξαρτήτως 3ετίας)
Αρχικές πιστοποιήσεις με την νέα έκδοσηISO/IEC 27001:202225/10/20223ετίαΕπιτρέπονται άμεσα πιστοποιήσεις με το νέο πρότυπο. Από 01/11/2023 υποχρεωτικά με το νέο πρότυπο
Η επιθεώρηση μετάβασης στο νέο πρότυπο ISO/IEC 27001:2022 για τους Οργανισμούς που είναι ήδη πιστοποιημένοι, μπορεί να διενεργηθεί κατά τη διάρκεια των καθιερωμένων ετήσιων επιθεωρήσεων επιτήρησης ή/και σε ενδιάμεση επιθεώρηση αναβάθμισης
 
ISO/IEC 27001:2022:  Τι αλλάζει στο πρότυπο πιστοποίησης και πως επηρεάζονται οι πιστοποιημένοι Οργανισμοί!

Σε μια ματιά:
Η βασική δομή του προτύπου με τις 10 βασικές παραγράφους δεν έχει κάποια σημαντική αλλαγή, όμως κατά τα λοιπά (Annex A) υπάρχει διαφοροποίηση τόσο στην λογική όσο και τα περιεχόμενα, οπότε επηρεάζει την προσέγγιση στο διαχειριστικό Σύστημα.
Ας μιλήσουμε με νούμερα :
  • Δεν υπάρχουν αλλαγές στις βασικές παραγράφους 4-10
  • Τα security controls έχουν αλλάξει από 114 σε 93
  • Τα security controls είναι χωρισμένα σε 4 γενικούς τομείς αντί 14:
    • People (8 controls)
    • Organizational (37 controls)
    • Technological (34 controls)
    • Physical (14 controls)
  • Υπάρχουν 11 καινούργια security controls που στην προηγούμενη έκδοση δεν υπήρχαν:
    • Threat intelligence
    • Information security for use of cloud services
    • ICT readiness for business continuity
    • Physical security monitoring
    • Configuration management
    • Information deletion
    • Data masking
    • Data leakage prevention
    • Monitoring activities
    • Web filtering
    • Secure coding
  • Έχουν δημιουργηθεί 5 τύποι χαρακτηριστικών (attributes) που αφορούν στα security controls για την καλύτερη κατηγοριοποίηση τους:
    • Control type (preventive, detective, corrective)
    • Information security properties (confidentiality, integrity, availability)
    • Cybersecurity concepts (identify, protect, detect, respond, recover)
    • Operational capabilities (governance, asset management, etc.)
    • Security domains (governance and ecosystem, protection, defense, resilience)

Λίστα αντιπαράθεσης παραγράφων

 ISO 27002:2022ISO 27002:2013 equivalent
A.5.7 Threat intelligenceA.6.1.4 Contact with special interest groups
A.5.16 Identity managementA.9.2.1 User registration and de-registration
A.5.23 Information security for use of cloud servicesA.15.x Supplier relationships
A.5.29 Information security during disruptionA.17.1.x Information security continuity
A.5.30 ICT readiness for business continuityA.17.1.3 Verify, review and evaluate information security continuity
A.7.4 Physical security monitoringA.9.2.5 Review of user access rights
A.8.9 Configuration managementA.14.2.5 Secure system engineering principles
A.8.10 Information deletionA.18.1.3 Protection of records
A.8.11 Data maskingA.14.3.1 Protection of test data
A.8.12 Data leakage preventionA.12.6.1 Management of technical vulnerabilities
A.8.16 Monitoring activitiesA.12.4.x Logging and monitoring
A.8.23 Web filteringA.13.1.2 Security of network services
A.8.28 Secure codingA.14.2.1 Secure development policy

    Τι μπορείτε να διαβάσετε στη συνέχεια

    Ανακοινώθηκαν από το Υπ.Πολιτισμού νέες προδιαγραφές για τα ενοικιαζόμενα καταλύματα, 5 οι κατηγορίες κλειδιών
    ΕΝΑΡΞΗ ΠΡΟΓΡΑΜΜΑΤΟΣ
    FROM FARM TO FORK POSTER