382

KERESÉS

GYORS INFORMÁCIÓ

Cégünk rendszertanúsításokkal és képzésekkel kapcsolatos szolgáltatásairól felmerülő kérdése esetén kérem hívja munkatársunkat információs vonalunkon, ahol részletes szakmai válaszokat kaphat a kérdéseire.

Információs telefonszámunk:
+36-23-444-275

ISO27001: 2013 átmenettel kapcsolatos információk

ISO27001: 2013 átmenettel kapcsolatos információkTisztelt Ügyfeleink!

Az IBIR/ISMS (ISO 27001) új változata 2013.10.01-én megjelent. Ez a 2005-ös első IBIR/ISMS kiadás első frissítése. Az alábbi közlemény a változások áttekintését és az ISO 27001 tanúsítvánnyal rendelkező szervezetek ISO27001 átmeneti határideit tartalmazza.


Változások áttekintése:

2005-től az ISO27001 kiállított tanúsítványok száma nagyon megnövekedett, ez már jelenleg meghaladja a 17.000-et. A megszerzett tapasztalatok és tudás fényében az információbiztonsági irányítási rendszerét kiépítését és auditálását úgy tervezték át, hogy megfeleljen az IBIR/ISMS követelményeknek,  valamint történtek változások az irányítási rendszer szabványok szerkezetében, azaz összesen az alábbi három jelentős változás van az ISO27001:2013-ban:

1. Az ISO27001:2013-at úgy írták, hogy összehangolják az ISO / IEC irányelvek felépítését az irányítási rendszer szabványokkal (az ISO / IEC-irányelvek SL mellékletének 1. része). Az ISO27001 most tíz cikkelyre struktúrált, és ezek majd tükröződnek más ISO szabványok a következő változataiban, mivel azokat is újra kiadják hogy megfeleljenek az ISO / IEC irányelveknek. Számos ISO27001 tanúsított szervezet rendelkezik integrált irányítási rendszerrel és egyéb tanúsítással (pl.: ISO9001, ISO14001, ISO22301), és ezek a változások egyszerűsítik az integrált irányítási rendszereknek való megfelelést.

 

2. Az ISO27001:2005 igazodik az ISO31000 "Kockázatkezelés"-hez. A kockázatértékelés megközelítése kevésbé előíró jellegű, mint az ISO27001:2005-ben a kockázatértékelés követelményei. Például, most már nincs szükség, hogy az információs eszközökre vonatkozó fenyegetések és alkalmazandó biztonsági rések szerepeljenek a kockázatértékelésben - az új követelmény, hogy a bizalom elvesztésének, integritásának és rendelkezésre állásának kockázatai információként azonosítottak az IBIR érvényességi területében. Más kockázati alapú szabványokat összehangolja az ISO31000-el, ez lehetővé teszi, hogy a szervezetek közös kockázatértékelési módszertannal rendelkezzenek.


3. A másik jelentős változása az ISO27001:2013-nak az A. melléklet, amely meghatározza az ellenőrzéseket és az ellenőrzési célkitűzéseket. Ez a melléklet megmarad az ISO27001-ben, valamint az alkalmazhatósági nyilatkozat elkészítésének követelménye, de:

  • Az ellenőrzések száma csökken 133-ról 114-re
  • A kontrollcsoportok száma 11-ről 14-re változott.

Az új ellenőrzési csoportok: IB Politikák (5), IBIR szervezése (6), HR Biztonság (7), Eszközkezelés (8), Hozzáférésellenőrzés (9), Kriptográfia (10), A fizikai és környezeti biztonság (11), Működésbiztonság (12), Kommunikáció biztonág (13), Rendszer beszerzése, fejlesztése és fenntartása (14), Beszállítói kapcsolatok (15), IB incidenskezelés (16), Üzleti folytonosság IB szempontjai (17) és Megfelelőség (18).

 

Átmenetre vonatkozó szabályok
A tervek szerint az átállás további költségekkel nem jár az ügyfelek számára - 27001:2013 szerinti értékelés a felügyeleti auditok vagy az okiratmegújító auditok részeként lesznek elvégezve.

Ügyfeleink részére, akik már rendelkeznek ISO27001:2005 tanúsítvánnyal: van egy két éves átmeneti időszak a szervezetek számára, akik  a meglévő ISO27001:2005 tanúsítványukat le szeretnék cserélni, 2015 szeptember 30-ig teljesíteniük kell a fent említett értékelést.

Ügyfeleink részére, akik ISO27001 kérelmét nyilvántartásba vettük, de még nem kapták meg az ISO27001 tanúsítványt: Minden jelentkezést, ami ISO27001:2005 regisztrációt igényel, legkésőbb 2014. június 30-ig regisztráltak kell legyenek. Az ISO27001:2013 átmenetet el kell érni az első felügyeleti auditon, amelyet a 2 szakasz utáni egy éven belül kell teljesíteni, vagyis legkésőbb 2015. június 30-ig. Ezért ISO27001: 2005 jelentkezéseket 2014. március 14-ig fogadunk el.

Tanácsok az ISO27001 regisztrációjára jelentkezett ügyfelek részére: Azok számára, akik még nem kezdték el bevezetni az információbiztonsági irányítási rendszer (IBIR/ISMS), vagy akik még korai szakaszában vannak a végrehajtásnak javasolt, az ISO27001:2013 egy példányát megvásárolni és a IBIR/ISMS kiépítését már az új szabvány követelményei szerint valósítsák meg. Ne feledje, hogy NQA eltérés-elemzést nyújthat az 1. szakasz előtt - ez egy olyan szolgáltatás, amely az 1. és a 2. szakasz kiegészítéseként ajánlunk. Kérjük, forduljon az értékesítési csapatunkhoz, ha szeretné, hogy eltérés-elemzést készítsünk.

Az NQA ISO27001:2013 Akkreditációja: Az NQA jelenleg még nem akkreditált ISO27001:2013-ra. Az akkreditáció határideinek befejezése az UKAS-tól függ, és értesíteni fogjuk ügyfeleinket, amint megkaptuk az akkreditációt.   Azok, akik bizonyítani tudják, hogy megfelelnek az ISO27001: 2013 kapnak az NQA ISO27001:2013 nem-akkreditált tanúsítványt kapnak, az UKAS akkreditált ISO27001:2005 tanúsítványával együtt. Amikor az NQA befejezte az új IBIR/ISMS szabvány szerinti UKAS akkreditációját, a tanúsítványt újra kiadjuk, mint akkreditált ISO27001:2013 tanúsítványt.