Revize ISO 27001 - Jak se na změny připravit?

Ing. Luboš Liška (vedoucí auditor LRQA), Ing. Roman Sedláček (vedoucí auditor LRQA)

Standard ISO 27001 byl poprvé publikován v roce 2005. Od té doby se v oblasti informačních technologií mnohé změnilo. Proto se technická skupina ISO rozhodla tento standard přezkoumat a zajistit, aby i do budoucna vhodně podporoval systémy managementu bezpečnosti informací.

V letošním roce prošla nová verze ISO 27001 v prvním návrhu změny fází diskuse ve Výboru pro veřejnost. Tento návrh (FDIS) byl v květnu 2013 Výborem pro rozvoj norem schválen a uvolněn pro bezprostřední veřejnou recenzi. 

Výbor ISO se rozhodl vydat novou verzi FDIS ISO 27001 v říjnu 2013. 

Změny v ISO 27001

Nový návrh FDIS ISO 27001 vydaný v květnu 2013 se používá k interpretaci změn v ISO 27001 a k posouzení, jak ovlivní systémy informačních managementů používaných pro podporu Politiky bezpečnosti informačních systémů. 

Existují dvě hlavní kategorie:

  • pro revize norem na úrovni vrcholové struktury systému managementu
  • ISO 31000, normy pro řízení rizik.

ISO 27001 - dokument „White Paper“

Tento dokument se snaží popsat změny ISO 27001, a jaké dopady mají, budou nebo mohou mít na organizace, které využívají tento standard pro podporu svých systémů řízení bezpečnosti informací (ISMS). Dokument nabízí realistický výklad změn a dopadů na informační bezpečnost procesů a systémů.

Jak může LRQA pomoci?

  • Školení

Naše školení Vám poskytne úplné informace o změnách a pomůže s řízeným přechodem na verzi ISO 27001:2013. Termíny školení budou publikovány na našich webových stránkách v nejbližších dnech.

  • Rozdílová (GAP) analýza

Tento způsob posouzení nabízí možnost zaměřit se na slabé oblasti vašeho přechodu na novou normu ISO 27001. Analýza není součástí procesu přechodu, takže ať už jste v jeho počátečních fázích nebo si chcete jen „nanečisto“ ověřit připravenost na něj, je to ideální služba pro získání jistoty, že budete plnit nové požadavky.

  • Zavedené systémy ISO 27001

Před jakoukoli dozorovou návštěvou můžete požádat Vašeho auditora, aby provedl přechod na nový standard jako součást běžné návštěvy. Obdržíte dotazník, jehož vyplněním prokážete, jak nové požadavky plníte.

Váš posuzovatel použijte tento dotazník spolu s potvrzujícími důkazy při ověřování, zda jste implementovali nové požadavky.

Pokud nechcete vyplňovat kontrolní dotazník před dozorovým auditem nebo požadujete přechod na nový standard mezi dozorovými návštěvami, lze provést ověření v dodatečně dohodnutém dni.

Jakékoliv nedostatky při posuzování budou uváděny jako zjištění obvyklým způsobem. A pokud nebudou závažné a bude odsouhlasen plán nápravných opatření, auditor doporučí schválení Vašeho systému řízení podle nového standardu.

  • Standard ISO 27001 certifikovaný jiným certifikačním orgánem

Pokud máte ISO 27001 certifikováno jiným certifikačním orgánem a rádi byste přešli k LRQA, provedeme převod a převezmeme původní ověření. Náš posuzovatel Vám před Vaší příští dozorovou nebo přechodovou návštěvou předá k vyplnění kontrolní dotazník s cílem prokázat, jak plníte požadavky nové normy. LRQA bude posléze postupovat stejným způsobem, jako u svých stávajících klientů.