Предстояща нова версия на ISO/IEC 27001: нови контроли от 2022 г.
Какво се променя
По отношение на критичните елементи, необходими за сертифициране по ISO 27001:2013 – клаузи от 4 до 10, не се очакват промени в предстоящата версия от 2022 г. Публикуваният през февруари тази година ISO 27002:2022 по същество отразява всички контроли от Приложение А в ISO 27001 и предоставя много подробни насоки за прилагането им. В новата версия на ISO/IEC 27001 се очаква контролите в Приложение A да съответстват на тези в ISO 27002:2022. Така че ISO/IEC 27002:2022 може да се разглежда като полезно ръководство за това какво да се очаква.
Важно е да се подчертае, че за разлика от задължителните клаузите на ISO/IEC 27001, които трябва да бъдат изпълнени, за да се извърши сертифициране, контролите по ISO 27002 не са задължителни в целия си набор, задължителни са само референтни общи контроли за информационна сигурност, за които можете да прочетете тук.
Като извършат оценка на риска, организациите могат да определят кои контроли трябва се отнасят до техния обхват и трябва да се изпълнят. Изборът се ръководи от необходимостта да се намалят рискове от анализа, описан в точка 6 в ISO/IEC 27001:2013, която не се променя.
Промените в контролите от ISO/IEC 27001 са направени с цел привеждане на стандарта в съответствие със актуалните нужди на технологичните индустрии.
График за промени в ISO 27001
Новата версия на стандарта ISO/IEC 27001 се очаква през октомври на 2022 година.
Ако приемем, че промяната следва типичния модел на новите версии на стандарта ISO, акредитационните органи ще предоставят от 12 до 24‑месечен гратисен период, който ще осигури време за актуализиране на процеси и документация, провеждане на обучение на служители и т.н.
Това означава, че ако вашата ISMS вече е сертифицирана, надзорните одити, планирани за 2022 г., ще бъдат съгласно версията от 2013 г. Ако в момента планирате първоначално сертифициране и получаване сертификат за ISMS през 2022 г. или началото на 2023 г., по време на одитите ще се прилага версията от 2013 година.
Организациите трябва да планират въвеждане на елементите на новия стандарт едва през 2023 г. и преминаване изцяло към новата версия от средата към втората половина на 2023 г. в зависимост от датите на сертифициране. Вероятно стандартът от 2013 г. ще отпадне напълно през 2024 г.
Внедряване на управленски стандарти
КОНСЕХО ЕООД (CONSEJO) е консултантска фирма, сформирана от екип консултанти с над 15 годишен опит по системи за управление в областта на международните стандарти. Фокусът на фирмата е предоставяне на консултантски услуги при разработване и внедряване на системи за управление, покриващи изискванията на международните стандарти по качеството, околната среда, безопасни условия на труд, сигурност на информацията, добри производствени практики на базата на международните стандарти: ISO 9001, ISO 14001, ISO 45001, ISO 22000, ISO 27001, IFS Food, HACCP и други.
Екипът на КОНСЕХО е участвал в реализирането на проекти във всички отрасли на икономиката. Реализираните проекти от екипа на КОНСЕХО са над 1000, в областите - производство и проектиране, строителство, търговия, информационни и комуникационни технологии, транспорт и спедиция, хотелиерство и ресторантьорство, специална продукция, енергетика, дизайн, хранително-вкусова промишленост, услуги и др. Във фирмата е изграден стриктен ред за контрол по спазването на договорените изисквания с клиентите, както сроковете на договорите, така и качеството на изпълнение на услугата. Изграденият стил на работа на фирмата се състои в разработване на истински системи за управление, съвместно с нашите клиенти, на базата на провеждане на множество обучения и оказване на пълно съдействие в процеса на внедряване. Чрез подхода си на работа КОНСЕХО осигурява и гарантира безпроблемно сертифициране на изградените системи в изключително кратки срокове.
