Despre noiStandardeBlog ✦ IAOfertă →
Acasă  /  Blog  /  Ghid ISO 27001:2022

Certificare ISO 27001:2022 — Ghid Complet pentru Organizaţii

ISO/IEC 27001:2022 a adus modificări semnificative în structura controalelor și în cerințele sistemului de management. Acest ghid acoperă toate schimbările critice, noua structură a Anexei A și o foaie de parcurs practică pentru tranziție, destinată organizațiilor care doresc să mențină sau să obțină certificarea.

ISO 27001 SMSI Certificare

 ·  8 min de citit

De Ce Contează Revizia din 2022

ISO/IEC 27001:2022 a înlocuit ediția din 2013 în octombrie 2022. International Accreditation Forum (IAF) a stabilit o fereastră de tranziție de trei ani, ceea ce înseamnă că toate certificatele existente pentru versiunea 2013 trebuiau migrate la versiunea 2022 până la 31 octombrie 2025. După această dată, orice certificat care încă face referire la standardul din 2013 este considerat invalid.

Aceasta nu este o actualizare administrativă minoră. Deși clauzele principale ale sistemului de management (4-10) au primit modificări relativ modeste, Anexa A a fost complet restructurată. Cele 114 controale anterioare, distribuite în 14 domenii, au fost consolidate în 93 de controale organizate în doar patru teme. Unsprezece controale complet noi au fost introduse, reflectând evoluția peisajului amenințărilor în domenii precum cloud computing, threat intelligence, mascarea datelor și ciclurile de viață ale dezvoltării sigure.

Modificări Principale în Clauzele Sistemului de Management

Cerințele sistemului de management din Clauzele 4-10 se aliniază cu Structura Armonizată (HS) utilizată în toate standardele ISO de sistem de management. Revizia din 2022 introduce câteva modificări țintite:

  • Clauza 4.2 — Părți interesate: Organizațiile trebuie acum să determine explicit care cerințe ale părților interesate vor fi abordate prin SMSI. Aceasta necesită o analiză documentată, nu doar o listă de părți interesate.
  • Clauza 6.3 — Planificarea modificărilor: Aceasta este o subclauzã nouă. Când organizația identifică necesitatea unor modificări ale SMSI, acestea trebuie efectuate într-o manieră planificată.
  • Clauza 8.1 — Planificare și control operațional: Organizațiile trebuie să stabilească criterii pentru procesele de securitate și să implementeze controale în conformitate cu aceste criterii.
  • Clauza 9.3 — Analiza de management: Intrările analizei de management includ acum explicit modificările în nevoile și așteptările părților interesate relevante pentru SMSI.

Noua Structură a Anexei A: Patru Teme în Loc de Paisprezece

Cea mai vizibilă modificare este reorganizarea Anexei A. Versiunea din 2013 avea 14 categorii de controale (A.5-A.18) conținând 114 controale. Versiunea 2022 restructurează acestea în patru grupuri tematice:

Temă Controale Descriere
A.5 Organizaționale 37 Politici, roluri, responsabilități, threat intelligence, managementul activelor, controlul accesului, relații cu furnizorii și conformitate.
A.6 Personal 8 Verificare, termeni de angajare, conștientizare, instruire, proces disciplinar și lucrul la distanță.
A.7 Fizice 14 Perimetre de securitate fizică, controale de acces, monitorizare și protecție împotriva amenințărilor de mediu.
A.8 Tehnologice 34 Dispozitive endpoint, acces privilegiat, protecție malware, managementul vulnerabilităților, mascarea datelor, DLP, monitorizare și codare sigură.

Cele 11 Controale Noi

ISO 27001:2022 introduce unsprezece controale care nu aveau echivalent direct în versiunea 2013:

  • A.5.7 — Threat Intelligence: Organizațiile trebuie să colecteze și să analizeze informații despre amenințări la adresa securității informațiilor.
  • A.5.23 — Securitatea informațiilor pentru servicii cloud: Un control dedicat care necesită procese pentru achiziția, utilizarea, managementul și ieșirea din serviciile cloud.
  • A.5.30 — Pregătirea ICT pentru continuitatea afacerii: Sistemele ICT trebuie să fie pregătite specific pentru întreruperi.
  • A.8.9 — Managementul configurației: Configurațiile hardware, software, servicii și rețele trebuie stabilite, documentate și monitorizate.
  • A.8.11 — Mascarea datelor: Mascarea datelor trebuie aplicată conform politicii de control al accesului.
  • A.8.12 — Prevenirea scurgerii de date: Măsuri DLP trebuie aplicate sistemelor care procesează informații sensibile.
  • A.8.16 — Activități de monitorizare: Rețelele, sistemele și aplicațiile trebuie monitorizate pentru comportament anormal.
  • A.8.23 — Filtrare web: Accesul la site-uri externe trebuie gestionat pentru a reduce expunerea la conținut malițios.
  • A.8.28 — Codare sigură: Principiile de codare sigură trebuie aplicate în dezvoltarea software.

Foaie de Parcurs pentru Tranziție

Etapa 1: Analiză de gap. Comparați Declarația de Aplicabilitate (SoA) curentă cu noile controale din Anexa A. Identificați cele 11 controale noi și evaluați maturitatea curentă.

Etapa 2: Actualizați evaluarea de risc. Setul de controale referit în planul de tratare a riscurilor trebuie actualizat pentru a reflecta Anexa A din ISO 27002:2022.

Etapa 3: Revizuiți Declarația de Aplicabilitate. SoA trebuie să facă referire la cele 93 de controale din versiunea 2022, indicând clar care sunt aplicabile și care nu.

Etapa 4: Actualizați politicile și procedurile. Revizuiți toate politicile de securitate a informațiilor pentru aliniere cu noul set de controale.

Etapa 5: Implementați controalele noi. Pentru fiecare control nou aplicabil, definiți abordarea de implementare, atribuiți responsabilități și stabiliți termene.

Organizațiile care au ratat termenul limită din octombrie 2025 ar trebui să contacteze imediat organismul de certificare. Unele organisme pot oferi căi accelerate de recertificare.

Cum Vă Sprijină BALTUM

Rețeaua internațională de auditori și consultanți BALTUM sprijină organizațiile în tranziția către ISO 27001:2022. Serviciile noastre includ analiză de gap, suport pentru revizuirea SoA, instruirea auditorilor interni, revizuire pre-certificare și suport pentru recertificare pentru organizațiile care au depășit termenul limită.