Vyšla česká verze revidované normy pro systémy managementu informací - ISMS

2.2.52

Vyšla česká verze revidované normy pro systémy managementu informací - ISMS

Ing. Monika Becková

Mezinárodní organizace ISO a IEC publikovaly již v říjnu 2013 druhé vydání normy pro systémy řízení bezpečnosti informací: ISO/IEC 27001:2013 Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací - Požadavky. Nyní, po dlouhém očekávání, konečně vyšla i česká verze, a to v září 2014 jako ČSN ISO/IEC 27001:2014. Druhé vydání zrušuje a nahrazuje první vydání z roku 2005.

Struktura a obsah druhého vydání normy

Druhé vydání má zcela novou strukturu (tzv. strukturu "vyšší úrovně"), která odpovídá standardu ISO/IEC Directives, Part 1: "Consolidated ISO Supplement — Procedures specific to ISO", Annex SL. K dalším změnám patří použití nových termínů a definic, z nichž některé jsou podstatné a mění pohled na systém řízení (např. kontext organizace, externí a interní aspekty systému řízení bezpečnosti informací), některé jsou pouze formálního charakteru (např. pojem dokumentované informace a jejich řízení, který nahradil dřívější dokumenty a záznamy).

Druhé vydání ČSN ISO/IEC 27001:2014 obsahuje následující kapitoly:

• Úvod

• Předmět normy

• Citované dokumenty

• Termíny a definice

• Kontext organizace

• Vůdčí role

• Plánování 

• Podpora

• Provozování

• Hodnocení výkonnosti

• Zlepšování

Přechodné období

Vzhledem k tomu, že česká verze vyšla takřka rok poté, co byla zveřejněna - v říjnu 2013 - ISO/IEC 27001:2013, přišly české firmy o rok z dvouletého přechodného období, které bylo schváleno organizací IAF (Mezinárodní akreditační fórum) a začalo běžet vydáním normy v originále. Nyní tedy zbývá pouze rok na to, aby změny související s revizí normy zapracovaly firmy, které mají certifikát shody s požadavky ČSN ISO/IEC 27001:2006. Nové certifikáty podle ČSN ISO/IEC 27001:2006 mohou být vydávány již pouze do konce září tohoto roku.

Od 1.10.2014 mohou akreditované certifikační orgány certifikovat pouze dle druhého vydání, tedy ČSN ISO/IEC 27001:2014. Vzniká tak paradoxní situace, kdy Český institut pro akreditaci, o.p.s., jako národní akreditační orgán, začal přijímat žádosti o akreditaci dle nové normy až po 1.9.2014, a má tedy jen jeden měsíc na to, aby posoudil všechny certifikační orgány provádějící certifikaci v oblasti bezpečnosti informací, a to včetně vydání rozhodnutí o osvědčení o akreditaci, zatímco certifikační orgány nesmějí po 1.10.2014 podle staré normy certifikovat.

Co s certifikáty vydanými podle…