Перехід на ISO/IEC 27001:2022

Зміни до ISO/IEC 27001:2022

Згідно з документом, істотними змінами до ISO/IEC 27001:2022 є:

• Посилання в Додатку А на засоби керування в ISO/IEC 27002:2022;
• Примітки до пункту 6.1.3 c) виправлено редакційно;
• Формулювання пункту 6.1.3 d) змінено, щоб усунути потенціал двозначність;

Порівняно з попередньою версією стандарту кількість елементів керування в ISO/IEC 27002:2022 зменшилася зі 114 елементів керування, розділених на 14 розділів, до 93 елементів керування в 4 розділах. Було об’єднано 24 елементи керування та оновлено 58 елементів керування.

Зміни в сертифікованих компаніях

Для того, щоб компанії перейшли на сертифікацію ISO/IEC 27001:2022, необхідно виконати наступні кроки (але не обмежуватися):

• аналіз прогалин ISO/IEC 27001:2022, а також необхідність внесення змін до СУІБ клієнта;
• оновлення заяви про застосовність (SoA);
• якщо застосовно, оновлення плану лікування ризиків;
• впровадження та ефективність нової або змінено елементи керування, обрані клієнтами;

Усі сертифіковані клієнти повинні перейти на ISO/IEC 27001:2022 протягом 36 місяців із дати публікації стандарту, орієнтовно у жовтні 2025 року.

Вимоги до органів сертифікації

Органи сертифікації повинні бути акредитовані відповідно до ISO/IEC 27001:2022 протягом 12 місяців з моменту публікації стандарту, враховуючи можливості органів акредитації.

Перехід клієнтів на новий ISO/IEC 27001:2022 може бути організований:

• У черговий аудит
• перехідний аудит

Як мінімум, аудит включає додатково 0,5 день аудитора.

Для існуючих клієнтів BM Certification підготує детальну інформацію про перехід на новий стандарт ISO/IEC 27002:2022.

Документ доступний тут:

https://iaf.nu/iaf_system/uploads/documents/IAF_MD_26_Transition_requirements_for_ISOIEC_27001-2022_09082022.pdf