×
Revize norem mající vztah k certifikovaným klientům:
Akreditační norma ČSN EN ISO/IEC 27001:2023
Norma ČSN ISO/IEC 27001:2014 byla nahrazena normou ČSN EN ISO/IEC 27001:2023, podle níž musí být všechny certifikované organizace certifikovány v rámci přechodného období.
Přechodové období je stanoveno dle IAF MD 26 na 36 měsíců od posledního dne měsíce zveřejnění normy ISO/IEC 27001:2022, (tj. 31. října 2025).
V rámci překlopení požadavků na novelizovanou normu bude ze strany CO vyžadováno navýšení času auditu:
1) V případě re-certifikačního auditu o 0,5 auditodne
2) v případě dozorového auditu o 1 auditoden
OBECNĚ
Porovnání změn požadavků normy ČSN ISO/IEC 27001:2014 (:2017) vs ČSN EN ISO/IEC 27001:2023.
Obsah normy:
- Základní požadavky
- Příloha A normy obsahuje výklad a použití normy.
Obecně
ISO/IEC 27001:2022 vychází z nové struktury "High-Level Structure" (HLS), což je sjednocená struktura pro všechny nové a revidované normy ISO Management System Standard (MSS). Díky této struktuře je usnadněno integrování různých norem do společných systémů řízení.
Nová verze normy klade větší důraz na hodnocení rizik. Organizace musí provádět komplexnější a detailnější analýzu rizik, aby lépe identifikovaly a řídily hrozby pro informační bezpečnost.
- Zohlednění technologického vývoje:
ČSN EN ISO/IEC 27001:2023 reflektuje nové výzvy a technologické trendy, které se objevily od vydání předchozí verze. Zvláštní pozornost je věnována novým hrozbám, jako jsou kybernetické útoky založené na umělé inteligenci, internetu věcí (IoT) a dalším novým technologiím.
- Posílení důrazu na vedení (leadership) a závazek vrcholového vedení
Standard zdůrazňuje důležitost zapojení vedení organizace do procesu řízení informační bezpečnosti.
Top management musí ukázat závazek k bezpečnosti informací a zajistit, že jsou pro ni dostatečně zdro-je.
- Zapojení dodavatelů a partnerů:
Nová verze klade důraz na zapojení dodavatelů a partnerů organizace do systému řízení informační bezpečnosti, zejména pokud jsou dodávány klíčové služby nebo produkty.
- Zohlednění rizika souvisejícího s lidským chováním:
ČSN EN ISO/IEC 27001:2023 zdůrazňuje důležitost zohlednění lidského chování jako zásadního aspektu infor-mační bezpečnosti. Organizace by měly zlepšit svou schopnost identifikovat a řídit rizika související s chováním svých zaměstnanců a jiných uživatelů.
Významné změny
Kapitola 4
- 4.2 - Porozumění potřebám a očekáváním zainteresovaných stran: Byla přidána nová položka, která vyžaduje analýzu toho, které požadavky zainteresovaných stran budou řešeny
prostřednictvím ISMS.
- 4.4 - Systém řízení informační bezpečnosti: norma vyžaduje identifikaci nezbytných procesů a jejich interakcí v rámci ISMS. Podstatně tedy ISMS musí zahrnovat procesy podporující ISMS, nikoli pouze ty, které jsou specificky uvedeny ve standardu.
Kapitola 6
- 6.2 - Cíle informační bezpečnosti a plánování jejich dosažení: Nyní obsahuje další pokyny k cílům in-formační bezpečnosti. To poskytuje jasnější představu o tom, jak by měly být cíle pravidelně
monitorovány a formálně dokumentovány.
- 6.3 - Plánování změn: Tato klauzule byla přidána, aby stanovila standard pro plánování změn. Uvádí, že pokud jsou v ISMS potřebné změny, musí být tyto změny dostatečně naplánovány.
Kapitola 8
- 8.1 - Operační plánování a řízení: Byly přidány další pokyny pro plánování a řízení provozu. ISMS nyní musí stanovit kritéria pro akce uvedené v článku 6 a kontrolovat tyto akce v souladu s kritérii.
Méně významné změny
Kapitola 5
- 5.3 - Organizační role, odpovědnosti a pravomoci: Drobná aktualizace jazyka objasnila, že komuni-kace rolí relevantních pro bezpečnost informací má být komunikována v rámci organizace.
Kapitola 7
-7.4 - Komunikace: Vedlejší věty a-c zůstávají stejné. Ale vedlejší věty d (kdo by měl komunikovat) a e (proces, kterým by měla být komunikace ovlivněna) byly zjednodušeny a sloučeny do nově pře-jmenované vedlejší věty d (jak komunikovat).
Kapitola 9
- 9.2 - Interní audit: Tato klauzule byla změněna, ale ne podstatně. V podstatě jen spojil to, co již exis-tovalo mezi body 9.2.1 a 9.2.2, do jednoho oddílu.
- 9.3 Přezkoumání vedením: Byl přidán nový bod s cílem objasnit, že přezkoumání vedením organi-zace musí zahrnovat zvážení všech změn potřeb a očekávání zainteresovaných stran. Je důležité si uvědomit jakékoli změny, protože jsou nástrojem pro rozsah ISMS, který je určen v článku 4 (a na základě těchto potřeb a očekávání). Pokud například představenstvo organizace chce vstoupit na burzu, organizace musí zvážit, jak by změna priorit ovlivnila ISMS.
Kapitola 10
- 10 - Zlepšení: Strukturální změny tohoto článku nyní uvádějí na prvním místě neustálé zlepšování (10.1) a na druhém místě neshodu a nápravná opatření (10.2).
Příloha A
Významné:
- Bylo přidáno 11 nových bodů
- Sloučeno bylo 57 bodů
- 23 bodů bylo přejmenováno
- 3 body byly odstraněny
V ISO 27001:2013 byly kontroly organizovány do 14 různých oblastí. V nové aktualizaci jsou body místo toho umístěny do následujících čtyř oblastí:
- Ovládací prvky osob (8 bodů)
- Organizační kontroly (37 bodů)
- Technologické kontroly (34 bodů)
- Fyzické kontroly (14 bodů)
Změna nomenklatury přispívá k lepšímu pochopení toho, jak kontroly podle přílohy A pomáhají zabezpečit informace. Předchozí názvy oblastí byly napsány pro IT profesionály - spíše než pro management.
Společnosti budou muset aktualizovat své prohlášení o aplikovatelnosti tak, aby odpovídalo této nové struktuře, protože chtějí dosáhnout certifikace podle ČSN EN ISO/IEC 27001:2023.
Byly také přidány další hodnoty atributů, aby lépe popsaly kontroly podle přílohy A a pomohly je kategorizovat, ale ty jsou k dispozici pouze v normě ČSN EN ISO/IEC 27001:2023.
Příloha A nové body
- A.5.23 Bezpečnost informací pro používání cloudových služeb: Tento ovládací prvek zdůrazňuje potřebu lepšího zabezpečení informací v cloudu a vyžaduje, aby organizace stanovily standardy
zabezpečení pro cloudové služby a měly procesy a postupy speciálně pro cloudové služby.
- A.5.30 Připravenost IKT na kontinuitu provozu: Tato kontrola vyžaduje, aby organizace zajistily, že informační a komunikační technologie mohou být obnoveny nebo použity v případě, že dojde k
narušení.
- A.7.4 Monitorování fyzické bezpečnosti: Tato kontrola vyžaduje, aby organizace monitorovaly citli-vé fyzické oblasti (datová centra, výrobní zařízení atd.), aby zajistily, že k nim budou mít přístup
pouze oprávněné osoby – takže organizace je v případě narušení informována.
- A.8.9 Správa konfigurace: Tento ovládací prvek vyžaduje, aby organizace spravovala konfiguraci své technologie, aby zajistila, že zůstane zabezpečená a aby se zabránilo neoprávněným změnám.
- A.8.10 Vymazání informací: Tento ovládací prvek vyžaduje vymazání dat, pokud již nejsou potřeba, aby se zabránilo úniku citlivých informací a aby byly dodrženy požadavky na ochranu osobních
údajů.
- A.8.11 Maskování dat: Tento ovládací prvek vyžaduje, aby organizace používaly maskování dat v souladu se zásadami řízení přístupu organizace k ochraně citlivých informací.
- A.8.12 Prevence úniku dat: Tato kontrola vyžaduje, aby organizace zavedly opatření, která zabrání úniku dat a zveřejnění citlivých informací ze systémů, sítí a dalších zařízení.
- A.8.16 Monitorovací činnosti: Tato kontrola vyžaduje, aby organizace monitorovaly systémy pro neobvyklé činnosti a implementovaly vhodné postupy reakce na incidenty.
- A.8.23 Filtrování webů: Tato kontrola vyžaduje, aby organizace spravovaly, ke kterým webovým stránkám uživatelé přistupují, aby chránily IT systémy.
- A.8.28 Bezpečné kódování: Tato kontrola vyžaduje, aby byly v rámci procesu vývoje softwaru orga-nizace zavedeny bezpečné principy kódování, aby se snížila slabá místa zabezpečení.
