MENU

Αναθεώρηση του προτύπου ISO/ IEC 27001

Χρονοδιάγραμμα μετάβασης από το ISO/IEC 27001:2013 στο ISO/IEC 27001:2022

Χρήσιμες Πληροφορίες για την νέα έκδοση του προτύπου ISO27001

Ως κάτοχοι ενεργού πιστοποιητικού ISO/IEC27001 θα πρέπει να οργανώσετε την αναβάθμιση του πιστοποιητικού σας στην καινούργια έκδοση του προτύπου και να προετοιμαστείτε για αυτό με τον κατάλληλο τρόπο, στις συνθήκες που έχει καθορίσει ο International Organization for Standardization (ISO) για αυτήν την εργασία.

Στην συνέχεια υπάρχουν οι απαραίτητες πληροφορίες για να ενημερωθείτε και να προγραμματίσετε τις ενέργειες σας ‘ φυσικά σε περίπτωση που υπάρχουν απορίες ή ανάγκη για διευκρινίσεις, μπορούμε να βοηθήσουμε !

- κυρία Ειρήνη Παπαγεωργοπούλου,

τηλ. 215-2157459

 e-mail. ipapageorgopoulou@tuv-nord.com

Χρονοδιάγραμμα μετάβασης από ISO/IEC 27001:2013 στο ISO/IEC 27001:2022

Σαν συνέπεια της πολύχρονής παρουσίας του προτύπου ISO/IEC 27001:2013, των τεχνολογικών εξελίξεων που τρέχουν με πολύ γρήγορους ρυθμούς και της σημαντικής διείσδυσης του προτύπου στην αγορά πιστοποίησης, προέκυψε η ανάγκη για την αναβάθμιση του σε νέα έκδοση.

 Από το Φεβρουάριο του 2022 ο International Organization for Standardization (ISO) είχε ανακοινώσει την τελική έκδοση αναθεώρησης του ISO27002 (που περιέχει τις κατευθυντήριες γραμμές για την υλοποίηση του 27001) και είχε προαναγγείλει την αναθεώρηση του προτύπου πιστοποίησης ISO/IEC 27001.

Η νέα έκδοση του προτύπου ISO/IEC 27001:2022 ανακοινώθηκε από τον ISO στις 25/10/2022.

Όπως συνηθίζεται στις αναθεωρήσεις των προτύπων, έχει καθοριστεί 3ετής περίοδος για την μετάβαση στο νέο πρότυπο, με τις ακόλουθες συνθήκες:

 

Είδος επιθεώρησης

Έκδοση προτύπου

Επιτρέπονται

από

Ισχύς πιστοποιητικών

έως

Σχόλια

Υπάρχουσες πιστοποιήσεις /

Ανανεώσεις

ISO/IEC 27001:2013

3ετία

31/10/2025

Μετά την 31/10/2025 θα γίνει ανάκληση  για τα πιστοποιητικά με ISO/IEC 27001:2013

Αρχικές πιστοποιήσεις με την παλαιά έκδοση

ISO/IEC 27001:2013

25/10/2022

31/10/2025

Επιτρέπονται αρχικές πιστοποιήσεις με το παλαιό πρότυπο μέχρι 31/10/2023, όμως περιορίζεται η λήξη ισχύος τους μέχρι 31/10/2025 (ανεξαρτήτως 3ετίας)

Αρχικές πιστοποιήσεις με την νέα έκδοση

ISO/IEC 27001:2022

25/10/2022

3ετία

Επιτρέπονται άμεσα πιστοποιήσεις με το νέο πρότυπο.

Από 01/11/2023 υποχρεωτικά με το νέο πρότυπο

 

 

Η επιθεώρηση μετάβασης στο νέο πρότυπο ISO/IEC 27001:2022 για τους Οργανισμούς που είναι ήδη πιστοποιημένοι, μπορεί να διενεργηθεί κατά τη διάρκεια των καθιερωμένων ετήσιων επιθεωρήσεων επιτήρησης ή/και σε ενδιάμεση επιθεώρηση αναβάθμισης, ύστερα από συνεννόηση με τον φορέα μας !

 

ISO/IEC 27001:2022:  Τι αλλάζει στο πρότυπο πιστοποίησης και πως επηρεάζονται οι πιστοποιημένοι Οργανισμοί!

Σε μια ματιά:

Η βασική δομή του προτύπου με τις 10 βασικές παραγράφους δεν έχει κάποια σημαντική αλλαγή, όμως κατά τα λοιπά (Annex A) υπάρχει διαφοροποίηση τόσο στην λογική όσο και τα περιεχόμενα, οπότε επηρεάζει την προσέγγιση στο διαχειριστικό Σύστημα.

Ας μιλήσουμε με νούμερα :

  • Δεν υπάρχουν αλλαγές στις βασικές παραγράφους 4-10
  • Τα security controls έχουν αλλάξει από 114 σε 93
  • Τα security controls είναι χωρισμένα σε 4 γενικούς τομείς αντί 14:
    1. People (8 controls)
    2. Organizational (37 controls)
    3. Technological (34 controls)
    4. Physical (14 controls)
  • Υπάρχουν 11 καινούργια security controls που στην προηγούμενη έκδοση δεν υπήρχαν:
    1. Threat intelligence
    2. Information security for use of cloud services
    3. ICT readiness for business continuity
    4. Physical security monitoring
    5. Configuration management
    6. Information deletion
    7. Data masking
    8. Data leakage prevention
    9. Monitoring activities
    10. Web filtering
    11. Secure coding
  • Έχουν δημιουργηθεί 5 τύποι χαρακτηριστικών (attributes) που αφορούν στα security controls για την καλύτερη κατηγοριοποίηση τους:
    1. Control type (preventive, detective, corrective)
    2. Information security properties (confidentiality, integrity, availability)
    3. Cybersecurity concepts (identify, protect, detect, respond, recover)
    4. Operational capabilities (governance, asset management, etc.)
    5. Security domains (governance and ecosystem, protection, defense, resilience)

 

Λίστα αντιπαράθεσης παραγράφων

 

ISO 27002:2022

ISO 27002:2013 equivalent

A.5.7 Threat intelligence

A.6.1.4 Contact with special interest groups

A.5.16 Identity management

A.9.2.1 User registration and de-registration

A.5.23 Information security for use of cloud services

A.15.x Supplier relationships

A.5.29 Information security during disruption

A.17.1.x Information security continuity

A.5.30 ICT readiness for business continuity

A.17.1.3 Verify, review and evaluate information security continuity

A.7.4 Physical security monitoring

A.9.2.5 Review of user access rights

A.8.9 Configuration management

A.14.2.5 Secure system engineering principles

A.8.10 Information deletion

A.18.1.3 Protection of records

A.8.11 Data masking

A.14.3.1 Protection of test data

A.8.12 Data leakage prevention

A.12.6.1 Management of technical vulnerabilities

A.8.16 Monitoring activities

A.12.4.x Logging and monitoring

A.8.23 Web filtering

A.13.1.2 Security of network services

A.8.28 Secure coding

A.14.2.1 Secure development policy