ПОЛИТИКА ЗА ПРЕХОД КЪМ ISO/IEC 27001:2022

То идентифицира дейности, които трябва да бъдат взети под внимание от съответните заинтересовани страни и да подобрят разбирането на контекста на ISO/IEC 27001:2022. 

ISO/IEC 27001:2022 не е напълно преработено издание. Основните му промени включват, но не се ограничават до:

1. Приложение A препратки към контролите за сигурност на информацията в ISO/IEC/IEC 27002:2022, което включва информацията за заглавието на контрола и контрола;
2. Забележките към клауза 6.1.3 c) са преработени редакционно, включително заличаване на целите на контрола и използване на „контрол на информационната сигурност“, за да замени „контрол;“
3. Формулировката на точка 6.1.3 d) е реорганизирана, за да се премахне потенциалната неяснота;
4. В цялата нова версия документът вече се нарича „този документ“, а не „този стандарт“;
5. Добавяне на нова т. 4.2 в) за определяне изискванията на заинтересованите лица, адресирани чрез СУСИ
6. Добавяне на нова подточка 6.3-Планиране на промени, която определя промените в СУСИ трябва да се извършват от организацията по планиран начин;
7. Поддържане на последователност в глагола, използван във връзка с документирана информация, например използване на „Документираната информация трябва да бъде налична като доказателство за XXX“ в клауза 9.1, 9.2.2, 9.3.3 и 10.2;
8. Използване на „външно осигурен процес, продукти или услуги“ за замяна на „възложени процеси“ в клауза 8.1 и заличаване на термина- „възлагане на външни изпълнители“;
9. Наименуване и пренареждане и подклаузите в клауза 9.2-Вътрешен одит и 9.3-Преглед на ръководството;
10. Размяна на реда на двете подклаузи в Клауза 10-Подобряване;
11. Актуализиране на изданието на свързаните документи, изброени в Библиографията, като ISO/IEC/IEC 27002 и ISO/IEC 31000;
12. Някои отклонения в ISO/IEC/IEC 27001:2013 към структурата на високо ниво, идентичен основен текст, общи термини и основни дефиниции на ССУ (Стандарти за система за управление) са преработени, за да останат в съответствие с хармонизираната структура за ССУ, например, клауза 6.2 d). 

Бележка 1: Първите два елемента идват от ISO/IEC 27001:2013/Cor.1:2014, третият елемент е от ISO/IEC 27001:2013/Cor.2:2015, а другите промени са резултат от хармонизираната структура за ССУ.

Бележка 2: В сравнение със старото издание, броят на контролите за информационна сигурност в ISO/IEC/IEC 27002:2022 намалява от 114 контроли в 14 клаузи на 93 контроли в 4 клаузи. За контролите в ISO/IEC/IEC 27002:2022 11 контроли са нови, 24 контроли са обединени от съществуващите контроли и 58 контроли са актуализирани. Освен това контролната структура е преработена, която въвежда „атрибут“ и „цел“ за всяка контрола и вече не използва „цел“ за група контроли. 

1. Период за преход

   ISO/IEC 27001:2022 беше публикуван на 25 октомври 2022 г.

   Ще има 3-годишен преходен период, завършващ на 31 октомври 2025 г. Това е според последния преходен документ на IAF (Международен форум за акредитация), който гласи „36 месеца от последния ден на месеца на публикуване на ISO/IEC 27001:2022 (т.е. 31 октомври 2025 г.)“.

   Всички сертификати по ISO/IEC 27001:2013 (БДС EN ISO/IEC 27001:2017) изтичат или ще бъдат оттеглени в края на преходния период.

   SGS НЯМА да издава оферти за ISO/IEC 27001:2013 (БДС EN ISO/IEC 27001:2017) след 31 август 2024 г.

   Първоначални или ресертификационни одити по стария стандарт НЯМА да се извършват след 31 октомври 2024 г. 

    

2. Валидност на сертификатите по ISO/IEC 27001:2013 (БДС EN ISO/IEC 27001:2017)

   Сертификатите по ISO/IEC 27001:2013 (БДС EN ISO/IEC 27001:2017) няма да са валидни след 30 октомври 2025 г., три години след края на месеца на публикуване на ISO/IEC 27001:2022.

   Датата на изтичане на сертификатите по ISO/IEC 27001:2013 (БДС EN ISO/IEC 27001:2017), издадени или преиздадени по време на преходния период (от 1 ноември 2022 г. до 31 октомври 2025 г.), трябва да съответства на края на тригодишния преходен период (31 октомври 2025 г.).

   SGS ще спре да провежда първоначални и ресертификационни одити по стандарта ISO/IEC 27001:2013 (БДС EN ISO/IEC 27001:2017) след 31 октомври 2024 г.

   След преходния период организациите с изтекли сертификати по ISO/IEC 27001:2013 (БДС EN ISO/IEC 27001:2017) ще бъдат третирани като нов клиент, подлежащ на пълен първоначален одит. 

    

3. Опции за преход

Налични са три опции за преход. Преходът може да се извърши по време на специален одит, редовен контролен одит или одит за подновяване на сертификацията.

• Вариант 1 – Отделен одит за клиенти, които биха искали да завършат своя преход като „самостоятелен“ одит.
• Вариант 2 – прогресивен подход за клиенти, които биха искали да завършат своя преход по време на планирани контролни на ISO/IEC 27001.
• Вариант 3 – Клиенти, които желаят да завършат своя преход по време на техния планиран одит за подновяване на сертификацията по ISO/IEC 27001.

Може да откриете повече информация в раздел "Изтегляне" по-долу.