Nowe wydanie normy ISO/IEC 27001:2013 właśnie zostało formalnie opublikowane przez ISO (International Organization for Standardization). O tym, jakie zmiany zostały wprowadzone do wymagań normy porozmawiamy z Waldemar Gełzakowskim, Konsultantem i Audytorem Wiodącym w Centrum Doskonalenia Zarządzania Meritum.
Redakcja: Co nowego pojawiło się w normie ISO/IEC 27001:2013?
WG: Norma ISO 27001:2013 została całkowicie przebudowana, zarówno w treści normy, jak również w Załączniku A. Struktura normy została dostosowana do wytycznych z Aneksu SL, które standaryzują strukturę wszystkich norm dotyczących systemów zarządzania. Zabezpieczenia w Załączniku A zostały zaktualizowane, uzupełnione i pogrupowane nieco inaczej.
Redakcja: Co oznacza wprowadzenie nowej normy dla firm, które posiadają wdrożone systemy zarządzania bezpieczeństwem informacji wg poprzedniego wydania ISO/IEC 27001?
WG: Na pewno konieczne będzie wprowadzenie zmian aktualizacyjnych. Sama idea oraz podstawowe wymagania w zasadzie nie uległy zmianie. Zmienił się nieco rozkład wag dla poszczególnych elementów systemu, np. dużo większą uwagę teraz należy przyłożyć do kwestii ustanawiania celów oraz pomiaru skuteczności systemu i zabezpieczeń.
Redakcja: Zawsze trudnym tematem jest i pewnie będzie analiza ryzyka. Czy w nowym wydaniu są jakieś zmiany w tym obszarze?
WG: I tak i nie. Podstawową zmianą jest przyjęcie w ISO/IEC 27001:2013 wytycznych do zarządzania ryzykiem pochodzących z coraz to popularniejszej normy ISO 31000. Jest to zmiana w stosunku do normy ISO 27005, zalecanej w poprzednim wydaniu, ale nie jest to zasadnicza zmiana do samego procesu zarządzania ryzykiem w bezpieczeństwie informacji, ponieważ obie normy w podobny sposób traktują zagadnienie zarządzania ryzykiem.
Redakcja: A w przypadku dokumentacji?
WG: Sądzę, że zmiany w dokumentacji będą konieczne, ponieważ numeracja poszczególnych punktów normy oraz oznaczenia zabezpieczeń uległa zmianie w całości normy i zupełnie nie pokrywa się z numeracją z poprzedniej wersji. Deklaracja Stosowania również powinna zostać dostosowana do nowego Załącznika A i listy zabezpieczeń.
Redakcja: W chwili obecnej mamy jeszcze „ciepłe” wydanie angielskojęzyczne. Kiedy możemy spodziewać się polskiego tłumaczenia?
WG: Ostatnie doświadczenia z tłumaczeniami nowych norm wskazują na ok. 1 roczny okres oczekiwania.
Redakcja: I ostatnie pytanie, kiedy organizacje posiadające wdrożone systemy wg ISO/IEC 27001:2005 lub PN ISO/IEC 27001:2007 będą musiały przejść na wydanie ISO/IEC 27001:2013?
WG: W przypadku nowego wydania normy zawsze jest okres przejściowy, zapewniający czas na dostosowanie istniejącego systemu do wymagań nowego wydania ISO/IEC 27001:2013. Zazwyczaj jest to okres 2 lat.
Redakcja: Dziękuję za rozmowę.
Zapraszamy na szkolenie z nowej normy w terminie 25 – 26 listopada. Więcej informacji na „Nowa norma ISO 27001:2013 – omówienie zmian!!!„.
