Πολιτική μετάβασης ISO/IEC 27001:2013 σε ISO/IEC 27001:2022 Συστήματα Διαχείρισης της Ασφάλειας Πληροφοριών

News

Ο Διεθνής Οργανισμός Τυποποίησης (ISO) έχει ανακοινώσει στις 30.10.2022, την έκδοση του νέου Προτύπου “ISO/IEC 27001:2022 Information Security, Cybersecurity and Privacy Protection – Information Security Management Systems - Requirements”, το οποίο και θα αντικαταστήσει το πρότυπο ISO/IEC 27001:2013. Σύμφωνα με σχετική απόφαση του Διεθνούς Φόρουμ για τη Διαπίστευση (International Accreditation Forum – IAF, MD:26 version 2, 15/02/2023), προβλέπεται τριετής μεταβατική περίοδος για την προσαρμογή στις απαιτήσεις του Προτύπου ISO/IEC 27001:2022 από την ημερομηνία έκδοσής του. Όλες οι πιστοποιήσεις με βάση το Πρότυπο ISO/IEC 27001:2013 θα ισχύουν μέχρι τις 30 Οκτωβρίου 2025.

Ο Διεθνής Οργανισμός Τυποποίησης (ISO) έχει ανακοινώσει στις 30.10.2022, την έκδοση του νέου Προτύπου “ISO/IEC 27001:2022 Information Security, Cybersecurity and Privacy Protection – Information Security Management Systems - Requirements”, το οποίο και θα αντικαταστήσει το πρότυπο ISO/IEC 27001:2013. Σύμφωνα με σχετική απόφαση του Διεθνούς Φόρουμ για τη Διαπίστευση (International Accreditation Forum – IAF, MD:26 version 2, 15/02/2023), προβλέπεται τριετής μεταβατική περίοδος για την προσαρμογή στις απαιτήσεις του Προτύπου ISO/IEC 27001:2022 από την ημερομηνία έκδοσής του. Όλες οι πιστοποιήσεις με βάση το Πρότυπο ISO/IEC 27001:2013 θα ισχύουν μέχρι τις 30 Οκτωβρίου 2025.

 Η Κυπριακή Εταιρεία Πιστοποίησης (ΚΕΠ) για την ορθή εφαρμογή και ομαλή μετάβαση των υφιστάμενων καθώς και νέων πελάτες της, αποφάσισε τα ακόλουθα χρονοδιαγράμματα εφαρμογής του νέου προτύπου:

 α. Νέοι Πελάτες:

Για νέους πελάτες οι οποίοι επιθυμούν την πιστοποίηση τους με το πρότυπο ISO/IEC 27001:2013, η ΚΕΠ θα διενεργεί επιθεωρήσεις αρχικής αξιολόγησης και πιστοποίησης σύμφωνα με το ISO/IEC 27001:2013 μέχρι τις 30 Απριλίου 2024. Με τη λήξη της περιόδου αυτής, όλες οι αρχικές επιθεωρήσεις και πιστοποιήσεις θα διενεργούνται στη βάση των απαιτήσεων της νέας έκδοσης του Προτύπου ISO/IEC 27001:2022.

Όλα τα πιστοποιητικά που θα εκδίδονται με βάση το πρότυπο ISO/IEC 27001:2013 για την περίοδο μέχρι τις 30 Απριλίου 2024 θα έχουν ημερομηνία λήξης τις 30 Οκτωβρίου 2025.

β. Υφιστάμενοι πιστοποιημένοι πελάτες με το πρότυπο ISO/IEC 27001:2013

Για την ολοκλήρωση της μετάβασης από το ISO/IEC 27001:2013 στο ISO/IEC 27001:2022 θα δοθεί μεταβατική περίοδος (transition period) 3 χρόνων, ώστε να επιτραπεί στους οργανισμούς να προχωρήσουν με τις προβλεπόμενες αλλαγές που απαιτεί το νέο πρότυπο. Η μεταβατική περίοδος λήγει στις 30 Οκτωβρίου 2025 και ως εκ τούτου, τα σχετικά Πιστοποιητικά Συμμόρφωσης κατά ISO/IEC 27001:2013 δεν θα ισχύουν μετά την ημερομηνία αυτή.

Για τη μετάβαση από το ISO/IEC 27001:2013 στο ISO/IEC 27001:2022 δεν απαιτείται η διενέργεια αρχικής αξιολόγησης του συστήματος αλλά αυτή μπορεί να γίνει μέσα στο πλαίσιο της ετήσιας επιθεώρησης επιτήρησης ή επαναξιολόγησης του συστήματος. Στο ελάχιστο θα απαιτείται επιπρόσθετη 0.5 ΑΗ επιθεώρησης. Οι πελάτες της ΚΕΠ μπορούν να ακολουθήσουν μία από τις πιο κάτω επιλογές:

• Μετάβαση στο νέο πρότυπο κατά την επιθεώρηση επαναξιολόγησης.
  • Σε αυτή την περίπτωση, θα επανεκδίδεται το Πιστοποιητικό Συμμόρφωσης Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών, με βάση το νέο πρότυπο ISO/IEC 27001:2022 και η επιθεώρηση που θα διενεργείται θα είναι επιθεώρηση επαναξιολόγησης και μετάβασης στο νέο πρότυπο. Η ισχύς του πιστοποιητικού θα είναι για τρία χρόνια από την ημερομηνία λήξης του υφιστάμενου πιστοποιητικού. Σημειώνεται ότι, εάν μεταξύ των ημερομηνιών 30.04.2024 και 30.10.2025, είναι προγραμματισμένη επιθεώρηση επαναξιολόγησης, αυτή θα πρέπει να γίνει με βάση τις απαιτήσεις του νέου Προτύπου ISO/IEC 27001:2022.
• Μετάβαση στο νέο πρότυπο κατά την 1η ή 2η επιθεώρηση επιτήρησης.
  • Σε αυτή την περίπτωση, θα επανεκδίδεται το Πιστοποιητικό Συμμόρφωσης Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών, με βάση το νέο πρότυπο ISO/IEC 27001:2022 και η επιθεώρηση που θα διενεργείται θα είναι επιθεώρηση επιτήρησης και μετάβασης στο νέο πρότυπο. Η ισχύς του πιστοποιητικού θα παραμένει η ίδια με τον εν ισχύ τριετή κύκλο πιστοποίησης, δηλαδή δεν θα υπάρξει τροποποίηση της διάρκειας ισχύος του.
• Ειδική επαναξιολόγηση και μετάβαση στο νέο πρότυπο κατά την 1η ή 2η επιθεώρηση επιτήρησης.
  • Σε αυτή την περίπτωση, θα επανεκδίδεται το Πιστοποιητικό Συμμόρφωσης Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών, με βάση το νέο πρότυπο ISO/IEC 27001:2022 και η επιθεώρηση που θα διενεργείται θα είναι επαναξιολόγηση. Η ισχύς του πιστοποιητικού θα είναι για τρία χρόνια από την ημέρα της απόφασης πιστοποίησης.

Για τη μετάβαση στο νέο πρότυπο ISO/IEC 27001:2022, απαιτείται η εκ των προτέρων ενημέρωση της ΚΕΠ (τουλάχιστο 1 μήνα προηγουμένως) για καλύτερο προγραμματισμό.

Το νέο πρότυπο ISO/IEC 27001:2022 μπορείτε να το προμηθευτείτε από τον Κυπριακό Οργανισμό Τυποποίησης (Τηλέφωνο: +35722411413 / 22411414).

Transition Policy ISO/IEC 27001:2013 to ISO/IEC 27001:2022 Information Security Management Systems

The International Standards Organisation (ISO) has announced the publication of the new Standard “ISO/IEC 27001:2022 Information Security, Cybersecurity and Privacy Protection – Information Security Management Systems - Requirements,” which is going to replace the standard ISO/IEC 27001:2013. According to the International Accreditation Forum – IAF, MD:26 version 2, February 2023, a three-year transition period from the publication date of ISO/IEC 27001:2022, shall apply. All certificates based on ISO/IEC 27001:2013 will be valid until the 30th of October 2025.

To ensure a smooth transition and correct implementation of the new standard ISO/IEC 27001:2022, the Cyprus Certification Company (CyCert) has decided on the following timeframes, for all certified, as well as new clients.

a. New Clients:

For new clients who wish to be certified according to ISO/IEC 27001:2013, CyCert will be carrying out initial assessment audits and certification according to ISO/IEC 27001:2013, until the 30th of April 2024. Following this date, all the initial assessment audits and certifications will be conducted according to the requirements of the new Standard ISO/IEC 27001:2022.

 All ISO/IEC 27001:2013 certificates issued by the 30th of April 2024., will expire on the 30th of October 2025.

 b. Existing certified clients according to ISO/IEC 27001:2013

To facilitate organisations to proceed with the changes that are required by the new standard, a period of 3 years is provided for completing the transition from ISO/IEC 27001:2013 to ISO/IEC 27001:2022. The transition period terminates on the 30th of October 2025. Therefore, Information Security Management Systems Certificates of Conformity according to ISO/IEC 27001:2013, will not be valid after this date.

 For the transition from ISO/IEC 27001:2013 to ISO/IEC 27001:2022, an initial assessment audit will not be required. The transition can be done during the annual surveillance audit or the reassessment audit of the management system.

 Existing clients may follow one of the following options for transition (upgrade) to ISO/IEC 27001:2022:

• Option 1: Upgrade during reassessment in the normal three-year cycle of certification. In this case, the Certificate of the Information Security Management System will be re-issued according to the requirements of the new standard (ISO/IEC 27001:2022). The certificate issued will follow the current certification cycle. It is noted that all recertification audits scheduled between 30/04/2024 and 30/10/2025 will be conducted according to the requirements of the new standard ISO/IEC 27001:2022.

• Option 2: Upgrade in one of the two surveillance years, therefore the audit will be a Surveillance + Transition audit. Certification will be within the current cycle starting from the last reassessment.
• Option 3: Special reassessment and upgrade audit during one of the two surveillance years, resulting in a new three-year certificate. The certificate will be valid for three years from the date of the certification decision.

 Companies are requested to inform CyCert about the upgrade audit option they want to choose (at least 1 month’s notice) to facilitate the scheduling of the audits.