ISO/IEC 27001

ISO/IEC 27001:2022 to aktualizacja międzynarodowego standardu, który definiuje kryteria dla Systemów Zarządzania Bezpieczeństwem Informacji (SZBI). Standard został wydany przez Międzynarodową Organizację Normalizacyjną (ISO) dnia 25 października 2022 roku.

Nowa edycja standardu wprowadza szereg ważnych zmian:

Liczba zabezpieczeń została zredukowana z 114 do 93, co odpowiada listowi zabezpieczeń w ISO/IEC 27002:2022.
Wprowadzono 11 nowych zabezpieczeń, które nie były obecne w poprzedniej wersji standardu.
Połączono 24 zabezpieczenia, a 58 zostało zaktualizowanych.
Zabezpieczenia zostały zorganizowane w cztery główne kategorie: organizacyjne, ludzkie, fizyczne i technologiczne.

Organizacje mają trzy lata na dostosowanie się do nowej normy od daty jej publikacji. Po tym okresie, audyty będą przeprowadzane tylko w oparciu o nową wersję standardu.

4 Kontekst organizacji

4.1 Zrozumienie organizacji i jej kontekstu

4.2 Zrozumienie potrzeb i oczekiwań zainteresowanych stron

4.3 Określenie zakresu systemu zarządzania bezpieczeństwem informacji

4.4 System zarządzania bezpieczeństwem informacji

5 Przywództwo

5.1 Przywództwo i zaangażowanie

5.2 Polityka

5.3 Role organizacyjne, obowiązki i uprawnienia

6 Planowanie

6.1 Działania mające na celu uwzględnienie zagrożeń i szans

6.2 Cele bezpieczeństwa informacji i planowanie ich osiągnięcia

6.3 Planowanie zmian

7 Wsparcie

7.1 Środki

7.2 Kompetencje

7.3 Świadomość

7.4 Komunikacja

7.5 Udokumentowane informacje

8 Działanie

8.1 Planowanie i kontrola operacyjna

8.2 Ocena ryzyka bezpieczeństwa informacji

8.3 Postępowanie w przypadku ryzyka związanego z bezpieczeństwem informacji

9 Ocena działania

9.1 Monitorowanie, pomiary, analiza i ocena

9.2 Audyt wewnętrzny

9.3 Przegląd zarządzania

10 Doskonalenie

10.1 Ciągłe doskonalenie

10.2 Niezgodności i działania naprawcze