El 09 d’agost del 2022 el Fòrum Internacional d’Acreditació (IAF) ha publicat el document IAF MD 26:2022(1) on es detallen els requisits a seguir per a la transició a ISO/IEC 27001:2022.
En el moment d’aquesta publicació, ja s’ha aprovat l’esborrany de l’ISO/IEC 27001:2022 i està pendent de la seva publicació. S’ha establert el període de transició en 3 anys després de la seva publicació.
Canvis principals
Nou Annex A amb els controls de l’ISO/IEC 27002:2022. Comparant amb la versió anterior:
- Disminueix el nombre de controls de 114 i 14 clàusules a 93 controls i 4 clàusules.
- Hi ha 11 controls nous.
- 24 controls s’han integrat a altres controls ja existents
- S’han actualitzat 58 controls
- L’estructura dels controls s’ha revisat, incloent com a novetat l’ “atribut” i “propòsit” en tots els controls i en alguns controls s’ha eliminat l’ “objectiu”
Les notes de la Clausula 6.1.3 c) s’han revisat, eliminant l’objectiu de control i reemplaçant “control” per “control de seguretat de la informació”.
La descripció de la Clausula 6.1.3 d) s’ha reorganitzat per a eliminar ambigüitats potencials.
Impacte dels canvis
L’impacte dels canvis, després dels requisits per a la transició ISO/IEC 27001:2022, es centra en la introducció del nou Annex A.
Els requisits de l’ISO/IEC 27001 que utilitzen els controls de referència de l’Annex A, són el procés de comparació entre els controls de seguretat de la informació establerts per l’organització, els de l’Annex A (6.1.3 c) i la Declaració d’Aplicabilitat (6.1.3.d). Comparant els controls de seguretat de la informació amb els de l’Annex A, l’organització pot comprovar si hi ha algun control de l’Annex Al fet que hagi passat inadvertit.
Pot resultar d’aquesta comparació que no aparegui cap control inadvertit. No obstant això, en cas que s’identifiquin controls inadvertits, l’organització ha d’actualitzar el pla de tractament de riscos, afegir el control de seguretat i implementar-lo.
De l’anterior es pot deduir que l’impacte de l’ISO/IEC 27001:2022 en les organitzacions que tenen implementat un SGSI no ha de ser significant.
Cronologia
Activitat
Entitats acreditadores (EA)
Les EA han d’estar preparades per a auditar sobre ISO/IEC 27001:2022
Data venciment
.
6 mesos des de l’últim dia del mes en què s’ha publicat ISO/IEC 27001:2022
L’inici d’auditories per EA en ISO/IEC 27001:2022 no han de començar més tard de
6 mesos des de l’últim dia del mes en què s’ha publicat ISO/IEC 27001:2022
L’acord de transició entre les EA i les EC s’ha de completar en
12 mesos des de l’últim dia del mes en què s’ha publicat ISO/IEC 27001:2022
Entidades certificadoras (EC)
L’inici de certificacions per EC en ISO/IEC 27001:2022 no han de començar més tard de
L’acord de transició entre les EC i els clients certificats s’ha de completar en
.
12 mesos des de l’últim dia del mes en què s’ha publicat ISO/IEC 27001:2022
36 mesos des de l’últim dia del mes en què s’ha publicat ISO/IEC 27001:2022
Accions per al procés de transició de les Entitats Certificadores
1. Acords per a la transició
Les EC han d’establir els acords per a la transició a ISO/IEC 27001:2022 prenent en consideració els requeriments del document IAF MD 26:2022(1).
L’acord de transició ha d’incloure les obligacions de les EC i les dels clients. Les EC poden disposar de diversos documents separats per a abordar l’acord de transició.
L’acord de transició ha d’incloure com a mínim les següents consideracions:
- Els canvis en ISO/IEC 27001 i anàlisi de forats de seguretat.
- La necessitat de modificar el procés de certificació, els documents, així com els sistemes de TI per a gestionar les activitats de certificació, si correspón.
- El personal rellevant ha de tenir competències en ISO/IEC 2007:2022.
- L’equip auditor, íntegrament, ha de conèixer els controls de l’ISO/IEC 27002:2022 i la seva implementació (veure ISO/IEC 27006:2015, 7.1.2.1.3 b)
- El programa d’auditoria de la transició.
- El programa de transició ha d’indicar el període de comunicació amb els clients, incloent-hi la cronología, el període per a realitzar l’auditoria de transició i les conseqüències en cas que el client falli abans de la data de venciment del període de transició.
S’anima a les EC a planificar i començar amb les accions requerides al més aviat possible.
2. Auditoria de transició
Les EC poden realitzar l’auditoria de transició al mateix temps que l’auditoria de control, l’auditoria de recertificació o per separat.
L’auditoria de transició no sols es basarà en la revisió de documents, sinó que posarà especial atenció en els controls tecnològics.
L’auditoria de transició ha d’incloure, entre altres, el següent:
- Anàlisi de forats de seguretat d’ISO/IEC 27001:2022, i la necessitat de canvis en el SGSI del client.
- L’actualització de la declaració d’aplicabilitat (SOA).
- Si aplica, l’actualització del pla de tractament de riscos.
- La implementació i l’efectivitat dels nous controls i les modificacions introduïdes pels clients.
La EC pot realitzar l’auditoria de transició en remot si s’assegura que es compleixen els objectius.
Com a mínim, l’auditoria ha d’incloure 0.5 dies addicionals d’auditor per a confirmar la transició del client certificat quan la transició es realitzi durant una auditoria de control o com una auditoria separada.
3. Altres
La EC pot definir el cronograma per a la presentació de la sol·licitud de transició per part dels clients certificats en el programa de l’auditoria de transició.
La EC prendrà la decisió de transició sobre la base del resultat de l’auditoria de transició.
La EC haurà d’actualitzar els documents de certificació per al client certificat si el seu SGSI compleix amb els requisits d’ISO/IEC 27001:2022.
Nota: Quan el document de certificació s’actualitzi perquè el client ha completat amb èxit només l’auditoria de transició, no es modificarà el venciment del seu cicle de certificació actual.
Totes les certificacions basades en ISO/IEC 27001:2013 expiraran o es retiraran quan acabi el període de transició.
