ISO 27001:2022 – ΧΡΟΝΟΔΙΑΓΡΑΜΜΑ ΜΕΤΑΒΑΣΗΣ ΚΑΙ ΒΑΣΙΚΕΣ ΑΛΛΑΓΕΣ

 

 

Στο πλαίσιο της μετάβασης από το πρότυπο ISO/IEC 27001:2013 στο ISO/IEC 27001:2022 και του χρονοδιαγράμματος ενεργειών που καθορίζονται από τις απαιτήσεις μετάβασης στο ISO/IEC 27001:2022 της IAF (IAF MD 26:2023 – Issue 2) και της σχετικής ανακοίνωσης του ΕΣΥΔ ισχύουν τα εξής:

  • Προβλέπεται τριετής μεταβατική περίοδος για την προσαρμογή στις απαιτήσεις του προτύπου ISO/IEC 27001:2022 από την ημερομηνία έκδοσής του, με καταληκτική ημερομηνία την 31.10.2025.
  • Η μεταβατική περίοδος, για τους οργανισμούς που είναι πιστοποιημένοι με την έκδοση του προτύπου ISO/IEC 27001:2013 λήγει στις 31.10.2025. Όλες οι πιστοποιήσεις που βασίζονται στο ISO/IEC 27001:2013 θα παυθούν ή θα ανακληθούν στο τέλος της μεταβατικής περιόδου.
  • Οι Φορείς Πιστοποίησης μπορούν να διενεργούν αρχικές επιθεωρήσεις ή επιθεωρήσεις επαναπιστοποίησης σύμφωνα με το ISO/IEC 27001:2013 έως τις 30.04.2024.
  • Όλα τα πιστοποιητικά που θα εκδίδονται σύμφωνα με το ISO/IEC 27001:2013 κατά την διάρκεια της μεταβατικής περιόδου πρέπει να λαμβάνουν υπόψη την ανωτέρω καταληκτική ημερομηνία (ανεξαρτήτως αν θα ολοκληρώνεται η συνήθης τριετής διάρκεια ισχύος του πιστοποιητικού ή όχι). Οι οργανισμοί που εφαρμόζουν Σύστημα Διαχείρισης για την Ασφάλεια Πληροφοριών και έχουν στη διάθεση τους εν ισχύ πιστοποιητικό ISO/IEC 27001:2013, θα έχουν τη δυνατότητα μετάβασης στο νέο πρότυπο ISO/IEC 27001:2022 κατά τη διάρκεια των ετήσιων επιθεωρήσεων επιτηρήσεων τους ή επιθεώρησης επαναπιστοποίησης τους ή ξεχωριστής επιθεώρησης μετάβασης, με πρότερη γραπτή ενημέρωση του φορέα μας.

Σε σύγκριση με το ISO/IEC 27001:2013, οι κύριες αλλαγές του ISO/IEC 27001:2022 περιλαμβάνουν, αλλά δεν περιορίζονται σε:

  • Το Παράρτημα Α (Annex A) του ISO/IEC 27001:2022 αναφέρεται στα security controls του ISO/IEC 27002:2022, το οποίο περιλαμβάνει τις πληροφορίες τίτλου του security control και τη περιγραφή του control.
  • Προστίθεται το 4.2 c) για το καθορισμό των απαιτήσεων των interested parties αναφορικά με το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών (ISMS).
  • Οι απαιτήσεις του clause 6.1.3 c) αναθεωρούνται συντακτικά περιλαμβάνοντας τη διαγραφή του όρου “control objectives” και αντικαθίσταται ο όρος “control” από τον όρο “information security control”.
  • Υπάρχει επαναδιατύπωση του 6.1.3 d) για να αποφευχθούν οι ασάφειες.
  • Προστίθεται το subclause3 – Planning for changes, το οποίο ορίζει ότι οι αλλαγές στο ISMS θα πραγματοποιούνται από τον οργανισμό με προγραμματισμένο τρόπο.
  • Οι απαιτήσεις του clause 8.1 αναθεωρούνται συντακτικά περιλαμβάνοντας τη διαγραφή του όρου “outsource” και αντικαθίσταται ο όρος “outsourced processes” από τον όρο “externally provided process, products or services”.
  • Διατήρηση της συνέπειας του όρου που χρησιμοποιείται σε σχέση με τις τεκμηριωμένες πληροφορίες (π.χ. “documented information shall be available as evidence of XXX” in clauses 9.1, 9.2.2, 9.3.3 and 10.2).
  • Ονομασίακαιαναδιάταξητων subclauses στο clause 9.2 – Internal audit και3 – Management review.
  • Ανταλλαγή της σειράς των δύο subclauses στο clause 10 – Improvement.
  • Ενημέρωση της έκδοσης των σχετικών εγγράφων που παρατίθενται στη βιβλιογραφία, όπως το ISO/IEC 27002 και το ISO 31000.
  • Αναθεώρηση στη δομή υψηλού επιπέδου σε βασικούς όρους και ορισμούς για να υπάρχει συνέπεια με την εναρμονισμένη δομή ενός Management System Standard (MSS), όπως για παράδειγμα το clause 2 d).