Obaveštenje u vezi sa promenama i načinu prelaska na sertifikaciju prema novom izdanju standarda (SRPS) ISO/IEC 27001:2022, izdanje 02

01.09.2023

Napomena: Međunarodna organizacija za akreditaciju (IAF) je objavila novo izdanje dokumenta IAF MD26:2023 Transition Requirements for ISO/IEC 27001:2022 u kojem su dati zahtevi i krajnji rokovi za sprovođenje aktivnosti prelaska na novo izdanje standarda (SRPS) ISO/IEC 27001:2022 kako za sertifikaciona tako i za akreditaciona tela. Uzimajući u obzir izmene koje proističu iz novog izdanja IAF MD26:2023 StandCert je iste inkorporirao u Obaveštenje u vezi sa promenama i načinu prelaska na sertifikaciju prema novom izdanju standarda (SRPS) ISO/IEC 27001:2022, izdanje 02. Potrebno je poštovati rokove i navode iz ovog izdanja obaveštenja. Prethodno poslato izdanje obaveštenja nije važeće.

Tekst obaveštenja

Dana 5.10.2022. Međunarodna organizacija za standardizaciju (ISO) je objavila novo izdanje ISO/IEC 27001 standarda: ISO/IEC 27001:2022. Nakon toga, 14.12.2022.godine, Institut za standardizaciju Srbije je objavio srpski standard SRPS ISO/IEC 27001:2022, Bezbednost informacija, sajber bezbednost i zaštita privatnosti – Sistemi menadžmenta bezbednošću informacija – Zahtevi, na engleskom jeziku, uz informaciju da je preveden i da se nalazi u fazi „Zatvoreno glasanje“.

Izmene u (SRPS) ISO/IEC 27001:2022 u odnosu na SRPS ISO/IEC 27001:2014 (ISO/IEC 27001:2013)

Ključne izmene se odnose na:

• Naziv standarda;
• Usklađivanje teksta sa novim izdanjem Anexa Sl uključuje novi zahtev 6.3 Planiranje izmena kao i strukturu zahteva 9.2 i 9.3 i redosled zahteva u tački 10;
• Aneks A;
• Dopunu zahteva 4.2, 4.4, 5.3, 6.1.3, 6.2, 7.4, 8.1, 9.1.

U Anexu A izvršene su sledeće izmene:

• Izvršeno je grupisanje kontrola u 4 grupe umesto dosadašnjih 14;
• Smanjen broja kontrola (sa 112 na 93)
• Dodate nove kontrole (11);
• Preformulisane su pojedine kontrole;
• Izvršeno je spajanje pojedinih kontrola (57 je spojeno u 24);
• Izmenjeni su nazivi pojedinih kontrola (23);
• Nova numeracija kod pojedinih kontrola (35).

Prelazni (tranzicioni) period

Međunarodna organizacija za akreditaciju (IAF) je 09.08.2022. godine objavila obavezujući dokument IAF MD 26:2022 Transition Requirements for ISO/IEC 27001:2022, u kojem su definisani zahtevi i krajnji rokovi za sprovođenje aktivnosti prelaska kako za sertifikaciona tako i za akreditaciona tela. Dana 15.02.2023. IAF je objavio ažurirano izdanje dokumenta IAF MD26:2023.

Shodno propisanom u dokumentu IAF MD 26:2023, period tranzicije sertifikovanih organizacija na (SRPS) ISO/IEC 27001:2022 je tri godine, pri čemu je krajnji rok za prelazak 31.10.2025.

Nakon tog datuma sve izdate sertifikacije po starom izdanju standarda više neće biti važeće. StandCert d.o.o. će svim klijentima koji do 31.10.2025. nisu prešli na novo izdanje standarda izvršiti povlačenje sertifikacije.

Za vreme trajanja prelaznog perioda, sertifikacije izdate prema zahtevima standarda SRPS ISO/IEC 27001:2014 (ISO/IEC 27001:2013) jednako su validne kao i sertifikacije izdate prema standardu (SRPS) ISO/IEC 27001:2022.

Tranziciona provera

StandCert d.o.o. je izvršio neophodne aktivnosti i spreman je za sprovođenje usluge sertifikacije sistema menažmenta bezbednošću informacija prema novom izdanju standarda (SRPS) ISO/IEC 27001:2022.

Sertifikovanim organizacijama biće omogućeno da dokažu usaglašenost sistema menadžmenta bezbednošu informacija sa novim izdanjem standarda (SRPS) ISO/IEC 27001:2022 u okviru nadzornih provera, provera u svrhu obnavljanja sertifikacije (resertifikacija) ili kroz samostalni postupak. Kada sertifikovana organizacija usaglasi svoj sistem menadžmenta sa zahtevima (SRPS) ISO/IEC 27001:2022, ona to treba da prijavi StandCert-u putem mejla. Prijavu za proveru u cilju prelaska na novo izdanje standarda potrebno je podneti blagovremeno kako bi se obezbedilo da se postupak sertifikaciji po novom izdanju standarda završi pre isteka kraja prelaznog perioda.

Ako se tranziciona provere obavlja zajedno sa proverom u svrhu obnavljanja sertifikacije, vreme provere će biti uvećano za minimum 0,5 proveravač dana za potrebe provere usaglašenosti sa novim/izmenjenim zahtevima (SRPS) ISO/IEC 27001:2022. U slučaju da se tranziciona provera obavlja zajedno sa nadzornom proverom ili da se tranziciona provera sprovodi kao samostalni postupak, tada vreme tranzicione provere iznosi najmanje 1 proveravač dan. Aktivnosti u vezi sa tranzicijom će se regulisati Aneksom Ugovora koji je važeći za trogodišnji sertifikacioni ciklus koji je u toku.

Tokom tranzicionih provera obavezno će se proveravati:

• GAP analiza ISO/IEC 27001:2022 i izmene koje je organizacija utvrdila;
• izmene koje je organizacija sprovela u svom sistemu menadžmenta;
• ažuriranje/ažurirana Izjave o poverljivosti (SoA);
• ažuriranje Plana postupanja sa rizikom, tamo gde je primenjivo;
• primenjivanje i efektivnost novih i/ili izmenjenih kontrola.

Izmena dokumenata sertifikacije

Nakon uspešno sprovedenog postupka prelaska na novo izdanje standarda (SRPS) ISO/IEC 27001:2022, StandCert će izdati novi sertifikat klijentu. Važnost sertifikacije je vezana za trenutno važeći sertifikacioni ciklus i ostaje nepromenjena.

Priprema organizacija za prelazak na novo izdanje standarda (SRPS) ISO/IEC 27001:2022

Preporučujemo da, sertifikovane organizacije, što je ranije moguće, počnu sa pripremama za prelazak i da pravilno planiraju i implementiraju potrebne promene u svoj sistem menadžmenta. U tom cilju preporučuju se sledeći koraci:

• upoznavanje sa sadržajem i zahtevima novog standarda uz fokusiranje na promene koje podrazumeva novo izdanje standarda;
• obučavanje relevantnog osoblje u cilju razumevanja zahteve i ključnih promena;
• identifikovanje nedostatka koje treba otkloniti da bi se ispunili novi zahtevi i uspostavljanje plana implementacije;
• sprovođenje izmena u sistemu menažmenta kako bi se ispunili zahtevi iz novog izdanja standarda.

Početne sertifikacije i resertifikacije

StandCert d.o.o. će početne sertifikacije i resertifikacije prema SRPS ISO/IEC 27001:2014 (ISO/IEC 27001:2013) sprovoditi do 30.04.2024. godine.
Nakon 30.04.2024. godine StandCert d.o.o. će sprovoditi početne sertifikacije i resertifikacije isključivo prema (SRPS) ISO/IEC 27001:2022.

Linkovi