W naszej witrynie internetowej używamy plików cookie do personalizowania treści i reklam, udostępniania funkcji mediów społecznościowych oraz analizowania ruchu na naszej stronie internetowej. Aby zapewnić Ci wygodną obsługę online i usprawnić naszą komunikację, prosimy o kliknięcie przycisku "AKCEPTUJ WSZYSTKO". W ten sposób wyrażasz zgodę na przetwarzanie i udostępnianie Twoich danych naszym partnerom z branży mediów społecznościowych, reklamy i analizy. W każdej chwili możesz cofnąć zgodę w ustawieniach .
Oświadczenie o ochronie danych osobowych | Nota prawna
Ustawienia

Zmiany, które zostały wprowadzone w nowej wersji normy będą bezpośrednio dotykały funkcjonującego w Państwa organizacji systemu zarządzania.

Nowa wersja normy ISO/IEC 27001

07 kwi 2023 Certyfikacja osób
Informujemy, że od października 2022 roku opublikowana została nowa wersja normy ISO/IEC 27001. Norma ta zawiera wytyczne dla systemów zarządzania bezpieczeństwem informacji, które muszą zostać spełnione, aby uzyskać certyfikat potwierdzający zgodność systemu zarządzania bezpieczeństwa informacji z wymaganiami ISO/IEC 27001 .
Zmiany, które zostały wprowadzone w nowej wersji normy będą bezpośrednio dotykały funkcjonującego w Państwa organizacji systemu zarządzania. W stosunku do poprzedniej wersji normy zaktualizowano następujące obszary:
  • doprecyzowanie wymagań odnoszących się do punktów od 4 do 10 normy,
  • przebudowanie i dodanie nowych zabezpieczeń w załączniku A do normy.
Okres przejściowy, w trakcie którego zaktualizowany zostanie proces oceny systemów zarządzania bezpieczeństwem informacji, aktualizacja systemów bezpieczeństwa w Twojej organizacjach oraz potwierdzenie przez DEKRA uwzględnienia nowych wymagań rozpoczyna się od ostatniego dnia miesiąca publikacji nowego wydania tj. 31 październik 2022 roku i musi zostać zakończony maksymalnie w ciągu 36 miesięcy.
Polskie Centrum Akredytacji wydało komunikat nr 384 z dnia 02.12.2022 roku, w którym określiła plan działań jakie zobowiązane są podjąć jednostki certyfikujące systemy zarządzania oraz certyfikowane organizacje w odniesieniu do wymagań normy ISO/IEC 27001:2022.
Kluczowe terminy dotyczą działań:
  • jednostki certyfikującej systemy zarządzania bezpieczeństwem informacji – konieczność potwierdzenia w wyniku oceny PCA kompetencji do realizacji procesów certyfikacji na zgodność z wymaganiami normy ISO/IEC 27001:2022 do dnia 31.10.2023; przy czym procesy oceny zostaną rozpoczęte po 01.05.2023 roku;
  • jednostki certyfikujące zobowiązane są do prowadzenia procesów certyfikacji początkowej i ponownej wyłącznie według ISO/IEC 27001:2022 nie później niż od 30 kwietnia 2024 roku;
  • organizacji utrzymujących certyfikowany system zarządzania bezpieczeństwa informacji na zgodność z wymaganiami PN-EN ISO/IEC 27001:2017-06 – konieczność aktualizacji systemu i potwierdzenia zgodności do zakończenia procesu przejściowego, tj. do 31.10.2025 roku. W przeciwnym przypadku jednostka certyfikująca systemy zobowiązana jest cofnąć udzielone certyfikacje oparte na PN-EN ISO/IEC 27001:2017-06;
Zgodnie z wytycznymi, zawartymi w dokumencie Międzynarodowego Forum Akredytacyjnego IAF MD26:2023, odnoszącymi się do sposobu przeprowadzenia audytu przejścia na nowe wymaganie normy:
  • audyt nie może się opierać wyłącznie na przeglądzie dokumentów – należy ocenić również skuteczność wdrożenia zabezpieczeń technicznych,
  • audyt powinien obejmować:
    • analizę luk dotyczącą ISO/IEC 27001:2022 oraz wynikające z niej potrzeby zmiany w systemie zarządzania bezpieczeństwem informacji,
    • weryfikację aktualizacji deklaracji stosowania,
    • jeśli to konieczne weryfikację planu postępowania z ryzykiem,
    • wdrożenie i skuteczność wdrożonych zabezpieczeń.
  • czas trwania audytu którego celem jest potwierdzenie zastosowania wytycznych zawartych w ISO/IEC 27001:2022 nie może być krótszy niż:
    • 0,5 dnia audytowego w przypadku gdy jest przeprowadzany w połączeniu z audytem ponownej certyfikacji;
    • 1 dzień audytowy na audyt przejścia w przypadku gdy jest on przeprowadzany w połączeniu z audytem nadzoru lub jako oddzielny audyt;
  • w przypadku przejścia na nowe wydanie normy w trakcie trwania trzyletniego cyklu certyfikacyjnego, to czas trwania cyklu certyfikacyjnego nie ulega zmianie.
Literatura:
1. Komunikat nr 384 z dnia 2.12.2022 r. w sprawie akredytacji jednostek certyfikujących systemy zarządzania bezpieczeństwem informacji w odniesieniu do wymagań normy ISO/IEC 27001:2022: https://pca​.gov​.pl/o-pca/wydarzenia/aktualnosci/komunikat-nr-384,670,0​.html
2. IAF MD 26:2022 Wymagania dotyczące przejścia na ISO/IEC 27001:2022: https://pca​.gov​.pl/download/gfx/pca/pl/defaultaktualnosci/102/670/1/iaf_md26_2022​.pdf
3. Komunikat w sprawie akredytacji jednostek certyfikujących systemy zarządzania bezpieczeństwem informacji w odniesieniu do wymagań normy ISO/IEC 27001:2022: https://pca​.gov​.pl/download/data/rep-files/userfiles/_public/dokumenty_pca/komunikaty/komunikat-nr-397​.pdf
4. IAF MD26:2023 z 2023-03-20 Wymagania dotyczące przejścia na ISO/IEC 27001:2022: https://pca​.gov​.pl/download/data/rep-files/userfiles/_public/dokumenty_pca/dokumenty_iaf/iaf_md26_2023​.pdf
Pokaż wszystkie informacje prasowe