Nacházíte se zdeDomůAktuality

Aktuality

Revize normy systému managementu bezpečnosti informací ISO/IEC 27001:2013 V říjnu 2013 vyšla nová verze normy ISO/IEC 27001:2013 Od kdy bude revize povinně uplatňována? Každá revize norem řady ISO má stanovené přechodové období. Pro tuto normu bylo stanoveno dvouleté přechodové období od 1. 10. 2013. Jednotlivé organizace – certifikační orgány a samozřejmě i certifikované organizace – mají určitý čas na implementaci změn.
Pro novelu ISO/IEC 27001 je tedy přechodové období následující:
  • Již certifikované organizace:
    • Od 1. 10. 2015 se všechny audity budou provádět pouze podle nové normy, certifikáty dle ISO/IEC 27001:2005 již po tomto datu nebudou platné, k tomuto datu musí v rámci plánovaných auditů dojít k přechodu na novou verzi normy ISO/IEC 27001:2013
  • Nově certifikované organizace:
    • Od 1. 10. 2014 se všechny certifikační audity budou provádět pouze podle nové normy
Audity lze podle nové normy provádět již nyní, norma – ČSN EN ISO/IEC 27001:2014 je již vydána.
Jaké změny přináší nová norma? Všechny nové normy a nově revidované stávající normy pro systémy managementu budou mít jednotný rámec tzv. „High Level Structure“ – HSL. Normy pak budou konzistentní a kompatibilní. Revize norem ISO/IEC 27001 už tento nový rámec obsahují. Součástí změn jsou také aktualizace souboru technických i organizačních opatření pro oblast managementu bezpečnosti informací, která vycházejí z šestileté zkušenosti s aplikací normy a také odpovídají vývoji technologií IT.
V revizi ISO/IEC 27001:2013 jsou nová opatření přílohy A, proto je třeba se na ně zaměřit: A 6.1.5 – Bezpečnost informací v projektovém managementu A 12.6.2 – Omezení při instalování SW A 14.2.1 – Politiky bezpečného vývoje A 14.2.5 – Bezpečnostní zásady systémového inženýrství A 14.2.6 – Bezpečné prostředí pro vývoj A 14.2.8 – Testování bezpečnosti systému A 15.1.1 – Politika bezpečnosti informací pro vztahy s dodavateli A 15.1.3 – Dodavatelský řetězec informačních a komunikačních technologií A 16.1.4 – Posouzení a rozhodnutí o bezpečnostních událostech A 16.1.5 – Reakce na incidenty v oblasti bezpečnosti informací A 17.2.1 – Dostupnost zařízení pro zpracování informací a dále je v revizi normy kladen důraz na článek 9.1 Monitorování, měření, analýza a hodnocení: Organizace musí hodnotit výkonnost bezpečnosti informací a účinnost ISMS.
Organizace musí určit:
    • Jaké jsou potřeby monitorování a měření
    • Metody monitorování a měření
    • Kdy má být monitorování a měření prováděno
    • Kdo má monitorovat a měřit
    • Kdy výsledky analyzovat a hodnotit
    • Kdo má analyzovat a hodnotit
Jak tedy postupovat? Následující kroky by Vám mohli pomoci při transformaci na nové vydání normy:
  1. Analýza silných a slabých stránek stávajícího systému
  2. Workshop s identifikací kontextu (vnitřního a vnějšího)
  3. Revize předmětu certifikace
  4. Stanovení cílů systému ISMS odpovídajících strategii firmy
  5. Revize vrcholové politiky
  6. Na základě výsledků předchozích kroků provést Revizi analýzy rizik
  7. Revize PoA
  8. Získání konsensu s vlastníky rizik
  9. Zpracování dílčích politik
  10. Výběr opatření a jejich zdůvodnění
  11. Specifikace míst měření (monitoringu) a způsobu komunikace výsledků
  12. Rekapitulace úplnosti dokumentace
  13. Rekapitulace úplnosti záznamů
  14. Rekapitulace rozsahu zákonných a smluvních požadavků a míra jejich plnění
  15. Měření a reportování
  16. Interní audit
  17. Přezkoumání managementu
Ačkoliv je změn v normě celkem dost, věříme, že Vám pomohou zlepšit nastavené procesy i celý systém managementu ve Vaší organizaci.
Lubomír Krůta, manažer produktu SŘ

Jednotný rámec systémových norem:

  • příležitost pro zjednodušování a reálnější uplatňování

Revize norem – systémy managementu:

V rámci koncepce revidování systémových norem pro oblast managementu (myšleno např. ISO 9001, ISO 14001 nebo ISO/IEC 27001, apod.) dochází v současnosti k významným změnám.
Na základě praktických zkušeností a potřeb byly dokumentem „ISO/IEC Directives, Part 1 — Consolidated ISO Supplement — Procedures specific to ISO“ a to jeho částí „Annex SL“ definovány nové přístupy, které musí být v rámci nejbližších revizí konkrétních systémových norem respektovány. Co to bude znamenat, zejména pro certifikované organizace či žadatele o certifikace a další zainteresované strany a o jaké novinky se vlastně jedná?

Revize norem – příležitosti:

1) Předně je dobré si uvědomit, že přijaté změny vychází skutečně z praktických zkušeností všech zainteresovaných stran a to i včetně certifikovaných organizací. V důsledku této skutečnosti bychom tedy měli novinky vnímat pozitivně a to jako další příležitost k zefektivňování uplatňovaných systémů. Určitě bychom měli hledat možnosti vedoucí k zjednodušování a tím dosáhnout stále většího souladu mezi vlastním řízením v organizacích a uplatňováním systémů managementu dle systémových norem. Opět zde platí, že je nutné reagovat na požadavky a zajistit jejich plnění v takovém rozsahu, abychom „prováděli správné věci správně“ a to vždy v zájmu managementu a byznysu. Rozhodně bychom neměli podlehnout tlakům některých stran, které buď z nepochopení či za účelem vlastního prospěchu zbytečně interpretují novinky nepřiměřeně přísně či dokonce mylně. Pokud se podaří eliminovat právě uvedená negativa, určitě to bude základ k tomu, aby byla certifikace v oblasti managementu významně účelná a prospěšná a aby tato certifikace byla ve veřejném zájmu.

Koncepční a obsahové změny norem – systémy managementu:

2) Změny, které nás čekají, můžeme rozdělit do dvou oblastí. Koncepční změny, které poskytují rámec pro všechny systémové normy a potom obsahové změny, které se již budou týkat konkrétních revidovaných norem.
  • a) Jednotný rámec systémových norem, patří do kategorie koncepčních změn. Definováno právě ve výše uvedeném citovaném dokumentu a jeho části „Annex SL“.
  • b) V rámci nejbližší revize každé konkrétní systémové normy budou zpracovatelé řešit jednak dodržení stanoveného jednotného rámce dle „Annex SL“ a dále i možné změny v požadavcích konkrétní systémové normy.

Koncepční změny – systémy managementu = jednotný rámec norem:

3) Jednotný rámec systémových norem – „Annex SL“, nejdůležitější informace:
  • K nahlédnutí: http://isotc.iso.org/livelink/livelink?func=ll&objId=4230452&objAction=browse&sort=subtype Pozor, není dovoleno kopírovat (slouží jen pro účely přípravy dokumentů ISO a IEC), lze tedy jen nahlédnout do textu
  • Všechny nové systémové a oborové normy v oblasti managementu budou mít jednotný rámec a všechny stávající normy v oblasti managementu budou při příštích revizích přepracovány dle tohoto rámce
  • Annex SL je závazný pro všechny technické komise (TC), tyto jej musí respektovat
  • Annex SL řeší i otázky relevance tvorby systémové normy z hlediska zainteresovaných stran a z mnoha dalších hledisek (prospěšnost normy) – Příloha č. 1 k Annex SL
  • V budoucnu všechny ISO normy na systémy managementu musí být konzistentní a kompatibilní
  • Nejdůležitější pro uživatele norem je Příloha č. 2 k Annex SL = Jednotný rámec (jednotná struktura norem, stejný základ textů, společné pojmy a definice). Příloha č. 2 k Annex SL definuje šablonu, která bude uplatňována.

Přehled revidovaných norem – systémy managementu:

4) Revize konkrétních systémových norem:
  • Přehled chystaných revizí a termínů u vybraných norem:
    BCM – Business continuity management systemsISO 22301:2012V platnosti jako ISO
    ISMS – Information security management systemsISO/IEC 27001:2013V platnosti jako ISO
    EMS – Systém environmentálního managementuISO 14001:2015Plánovaný termín ISO – Leden 2015
    QMS – systém managementu kvalityISO 9001:2015Plánovaný termín ISO – Září 2015
    OH&S – systém managementu bezpečnosti a ochrany zdraví při práciISO 45001:2016Plánovaný termín ISO – Říjen 2016
  • O termínech, v rámci přechodového období stanoveného pro certifikaci každé příslušné normy, budeme jako certifikační orgán zasílat klientům aktuální informace

Ukázka změn – systémy managementu:

5) Ukázka vybraných nově zaváděných pojmů a požadavků k zamyšlení:
  • Kontext organizace – Organizace v souvislostech (nový požadavek)
  • Vedení a řízení lidí a závazky (nově závazky)
  • Role, odpovědnosti a zmocnění v rámci organizace (nově role a zmocnění)
  • Činnosti zaměřené na rizika a příležitosti (důraz na management rizik)
  • Dokumentované informace (dříve dokumenty a záznamy)
  • Vyhodnocení výkonnosti (dříve monitorování a měření)
  • Neshoda a nápravné opatření (preventivní opatření se přesouvají v rámci managementu rizik)

EZÚ – nabídka spolupráce:

V tomto materiálu jsou uvedeny jen základní informace o probíhajících a chystaných změnách.
Aby bylo možné se s novinkami vyrovnat rozumně, účelně a efektivně a aby veškeré naše kroky podporovaly zájmy managementu a byznysu, budeme s Vámi rádi příslušné otázky a přístupy komunikovat a vzájemně si vyměňovat zdravé názory. V rámci prováděných auditů, v rámci nabídek školení a seminářů i v rámci individuálních konzultací, Vám jsou všichni naši kompetentní pracovníci k dispozici.
S jakýmkoliv požadavkem na dané téma, se můžete obracet na manažera produktu SŘ a společně budeme hledat vhodné řešení.
Autor a kontaktní osoba: Lubomír Krůta Manažer produktu SŘ a vedoucí auditor