Αναθεώρηση του προτύπου ISO/ IEC 27001
Χρονοδιάγραμμα μετάβασης από το ISO/IEC 27001:2013 στο ISO/IEC 27001:2022
Χρήσιμες Πληροφορίες για την νέα έκδοση του προτύπου ISO27001
Ως κάτοχοι ενεργού πιστοποιητικού ISO/IEC27001 θα πρέπει να οργανώσετε την αναβάθμιση του πιστοποιητικού σας στην καινούργια έκδοση του προτύπου και να προετοιμαστείτε για αυτό με τον κατάλληλο τρόπο, στις συνθήκες που έχει καθορίσει ο International Organization for Standardization (ISO) για αυτήν την εργασία.
Στην συνέχεια υπάρχουν οι απαραίτητες πληροφορίες για να ενημερωθείτε και να προγραμματίσετε τις ενέργειες σας
Χρονοδιάγραμμα μετάβασης από ISO/IEC 27001:2013 στο ISO/IEC 27001:2022
Σαν συνέπεια της πολύχρονής παρουσίας του προτύπου ISO/IEC 27001:2013, των τεχνολογικών εξελίξεων που τρέχουν με πολύ γρήγορους ρυθμούς και της σημαντικής διείσδυσης του προτύπου στην αγορά πιστοποίησης, προέκυψε η ανάγκη για την αναβάθμιση του σε νέα έκδοση.
Από το Φεβρουάριο του 2022 ο International Organization for Standardization (ISO) είχε ανακοινώσει την τελική έκδοση αναθεώρησης του ISO27002 (που περιέχει τις κατευθυντήριες γραμμές για την υλοποίηση του 27001) και είχε προαναγγείλει την αναθεώρηση του προτύπου πιστοποίησης ISO/IEC 27001.
Η νέα έκδοση του προτύπου ISO/IEC 27001:2022 ανακοινώθηκε από τον ISO στις 25/10/2022.
Όπως συνηθίζεται στις αναθεωρήσεις των προτύπων, έχει καθοριστεί 3ετής περίοδος για την μετάβαση στο νέο πρότυπο, με τις ακόλουθες συνθήκες:
Είδος επιθεώρησης | Έκδοση προτύπου | Επιτρέπονται από | Ισχύς πιστοποιητικών έως | Σχόλια |
Υπάρχουσες πιστοποιήσεις /Ανανεώσεις | ISO/IEC 27001:2013 | 3ετία | 31/10/2025 | Μετά την 31/10/2025 θα γίνει ανάκληση για τα πιστοποιητικά με ISO/IEC 27001:2013 |
Αρχικές πιστοποιήσεις με την παλαιά έκδοση | ISO/IEC 27001:2013 | 25/10/2022 | 31/10/2025 | Επιτρέπονται αρχικές πιστοποιήσεις με το παλαιό πρότυπο μέχρι 31/10/2023, όμως περιορίζεται η λήξη ισχύος τους μέχρι 31/10/2025 (ανεξαρτήτως 3ετίας) |
Αρχικές πιστοποιήσεις με την νέα έκδοση | ISO/IEC 27001:2022 | 25/10/2022 | 3ετία | Επιτρέπονται άμεσα πιστοποιήσεις με το νέο πρότυπο. Από 01/11/2023 υποχρεωτικά με το νέο πρότυπο |
ISO/IEC 27001:2022: Τι αλλάζει στο πρότυπο πιστοποίησης και πως επηρεάζονται οι πιστοποιημένοι Οργανισμοί!
Σε μια ματιά:
Η βασική δομή του προτύπου με τις 10 βασικές παραγράφους δεν έχει κάποια σημαντική αλλαγή, όμως κατά τα λοιπά (Annex A) υπάρχει διαφοροποίηση τόσο στην λογική όσο και τα περιεχόμενα, οπότε επηρεάζει την προσέγγιση στο διαχειριστικό Σύστημα.
Ας μιλήσουμε με νούμερα :
- Δεν υπάρχουν αλλαγές στις βασικές παραγράφους 4-10
- Τα security controls έχουν αλλάξει από 114 σε 93
- Τα security controls είναι χωρισμένα σε 4 γενικούς τομείς αντί 14:
- People (8 controls)
- Organizational (37 controls)
- Technological (34 controls)
- Physical (14 controls)
- Υπάρχουν 11 καινούργια security controls που στην προηγούμενη έκδοση δεν υπήρχαν:
- Threat intelligence
- Information security for use of cloud services
- ICT readiness for business continuity
- Physical security monitoring
- Configuration management
- Information deletion
- Data masking
- Data leakage prevention
- Monitoring activities
- Web filtering
- Secure coding
- Έχουν δημιουργηθεί 5 τύποι χαρακτηριστικών (attributes) που αφορούν στα security controls για την καλύτερη κατηγοριοποίηση τους:
- Control type (preventive, detective, corrective)
- Information security properties (confidentiality, integrity, availability)
- Cybersecurity concepts (identify, protect, detect, respond, recover)
- Operational capabilities (governance, asset management, etc.)
- Security domains (governance and ecosystem, protection, defense, resilience)
Λίστα αντιπαράθεσης παραγράφων
ISO 27002:2022 | ISO 27002:2013 equivalent |
A.5.7 Threat intelligence | A.6.1.4 Contact with special interest groups |
A.5.16 Identity management | A.9.2.1 User registration and de-registration |
A.5.23 Information security for use of cloud services | A.15.x Supplier relationships |
A.5.29 Information security during disruption | A.17.1.x Information security continuity |
A.5.30 ICT readiness for business continuity | A.17.1.3 Verify, review and evaluate information security continuity |
A.7.4 Physical security monitoring | A.9.2.5 Review of user access rights |
A.8.9 Configuration management | A.14.2.5 Secure system engineering principles |
A.8.10 Information deletion | A.18.1.3 Protection of records |
A.8.11 Data masking | A.14.3.1 Protection of test data |
A.8.12 Data leakage prevention | A.12.6.1 Management of technical vulnerabilities |
A.8.16 Monitoring activities | A.12.4.x Logging and monitoring |
A.8.23 Web filtering | A.13.1.2 Security of network services |
A.8.28 Secure coding | A.14.2.1 Secure development policy |