Admin

30.3.2025

Vydání normy ČSN EN ISO/IEC 27006-1:2024

Předmět: Přechod na novou akreditační normu ISO/IEC 27006-1:2024 pro certifikaci ISMS

Vážená paní, vážený pane,

dovolujeme si Vás informovat o aktualizaci pravidel pro provádění auditů a certifikaci systémů managementu bezpečnosti informací (ISMS) podle normy ISO/IEC 27001.

V souladu s rozhodnutím mezinárodního fóra IAF a Českého institutu pro akreditaci (ČIA) dochází k přechodu na novou verzi normy ČSN EN ISO/IEC 27006-1:2024. Tato norma definuje požadavky na nás jako certifikační orgán a zajišťuje vyšší úroveň shody a bezpečnosti v celosvětovém měřítku.

Co to znamená pro Vás jako našeho klienta?

  1. Platnost Vašeho certifikátu: Váš stávající certifikát podle ISO/IEC 27001 zůstává v platnosti. K formálnímu „překlopení“ na novou akreditační značku dojde v rámci nejbližšího plánovaného dozorového nebo recertifikačního auditu.
  2. Terminologie: V nových dokumentech a certifikátech se setkáte s aktualizovaným názvem: „Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí“.
  3. Výpočet času auditu: Nová norma zpřesňuje pravidla pro stanovení délky auditu (např. s ohledem na využívání cloudových služeb a outsourcingu). Váš manažer zakázky Vás bude včas informovat, pokud by tyto změny měly vliv na časový rozsah Vašeho příštího auditu.
  4. Termín dokončení: Celý proces přechodu u všech našich klientů musí být dokončen nejpozději do 31. března 2026.

Jaký bude další postup?

Náš certifikační orgán již zahájil proces implementace těchto změn. V rámci přípravy na Váš příští audit s Vámi náš auditor zkonzultuje případné drobné úpravy v plánu auditu tak, aby byly splněny nové požadavky.

V případě jakýchkoliv dotazů k tomuto přechodu se neváhejte obrátit na svého auditora nebo přímo na naše obchodní oddělení.

Děkujeme za Vaši důvěru a těšíme se na další spolupráci při zvyšování úrovně Vaší informační bezpečnosti.

Admin

15.9.2024

Vydání změny normy ČSN ISO 45001:2018

Vážení zákazníci,

dovolujeme si Vás informovat, že 1.4.2024 byla vydána změna (Z1) k normě ČSN ISO 45001:2018 – Systém managementu bezpečnosti a ochrany zdraví při práci. Tato změna se týká pouze změny označení normy a informaci o převzetí normy do soustavy EN. Označení se tak mění na ČSN EN ISO 45001:2018.

Obsah textu normy zůstává beze změn, je však nutné změnu v označení normy implementovat do vašeho systému managementu.

Změna označení normy v již vydaných certifikátech bude provedena po ověření implementace v rámci následného plánovaného auditu (dozorového nebo recertifikačního).

Nové prvotní / opakované certifikace již budou prováděny pouze podle normy ČSN EN ISO 45001:2018.

Admin

10.12.2023

Vydání normy ČSN EN ISO/IEC 27001:2023

V říjnu 2023 byla Českou agenturou pro standardizaci přeložena a vydána norma ČSN EN ISO/IEC 27001:2023 Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí – Systémy managementu informační bezpečnosti – Požadavky. Tato norma je českou verzí evropské normy EN ISO/IEC 27001:2023.

Norma nahrazuje ČSN EN ISO/IEC 27001:2014.

Norma ČSN EN ISO/IEC 27001:2023 spolu s normou ČSN EN ISO/IEC 27002:2023 Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí – Opatření informační bezpečnosti slouží jako reference pro certifikaci systémů managementu informační bezpečnosti (ISMS).

Připomínáme, že od 1.7.2024 budou certifikace systému managementu informační bezpečnosti již prováděny pouze podle této nové normy. Přechod stávajících certifikací na tuto novou normu musí být dokončeny do 31.10.2025.

Admin

13.7.2023

Vydání normy ISO/IEC 27001:2022

Dobrý den,
dovolujeme si Vám touto cestou oznámit, že v říjnu 2022 vyšla nová verze normy ISO/IEC 27001:2022. Každá revize norem řady ISO má stanovené přechodové období. Jednotlivé organizace – certifikační orgány a samozřejmě i certifikované organizace – mají určitý čas na implementaci změn.
Pro tuto normu bylo stanoveno tříleté přechodové období do 31. 10. 2025. Pro novelu ISO/IEC 27001 je tedy přechodové období následující:

 Již certifikované organizace:
o Od 01. 11. 2025 se všechny audity budou provádět pouze podle nové normy, certifikáty dle ISO/IEC 27001:2013 již po tomto datu nebudou platné, k tomuto datu musí v rámci plánovaných auditů dojít k přechodu na novou verzi normy ISO/IEC 27001:2022. Pro všechny certifikované organizace jsme povinni přidat k auditnímu času minimálně 0,5 auditního dne na prověření aplikace změn ISO/IEC 27001:2022

 Nově certifikované organizace:
o Od 01. 01. 2024 se všechny certifikační audity budou provádět pouze podle nové normy Audity lze podle nové normy provádět již nyní. Český překlad normy – ČSN EN ISO/IEC 27001 nebyl zatím publikován. Audity je možné provádět podle anglického originálu normy. CO DQS Cert podstoupil
přeposouzení na novou normu od Českého institutu pro akreditaci, o.p.s. v červnu 2023.

Proč se norma ISO/IEC 27001 mění?
 Přizpůsobují se měnícímu se světu (současné potřeby, technologie, globalizace)
 Odráží potřeby všech uživatelů a zúčastněných stran
Jaké jsou změny v normě ISO/IEC 27001:2022?
 V článku 6.1.3 jsou provedeny pouze redakční úpravy
 Příloha A se odkazuje na opatření uvedená v normě ISO/IEC 27002:2022
Ve srovnání se starým vydáním se počet opatření v ISO/IEC 27002:2022 snižuje ze 114 opatření ve 14 článcích na 93 opatření ve 4 doménách. U opatření v ISO/IEC 27002:2022 je 11 opatření nových, 24 opatření je sloučeno ze stávajících opatření a 58 opatření je aktualizováno. Kromě toho je revidována struktura opatření, která zavádí „atribut“ a „účel“ pro každé opatření a již nepoužívá „cíl“ pro skupinu opatření.
Jak tedy postupovat?
Následující kroky by Vám mohly pomoci při přechodu na nové vydání normy:
1. Zakoupit ISO/IEC 27002:2022 a ISO/IEC 27001:2022
2. Seznámit se s novými opatřeními a definicemi, jako např. primární aktiva, RTO, RPO atd.
3. Provést analýzu rizik s ohledem na nová opatření a nové rozdělení aktiv
(pro analýzu a hodnocení rizik je vhodné vycházet z nové normy ISO/IEC 27005:2022)
4. Realizovat opatření z analýzy rizik, implementovat je do procesů ISMS
5. Implementovat nová opatření do provozní dokumentace
6. Aktualizovat Prohlášení o aplikovatelnosti (PoA)
7. Provést interní audit s ohledem na nová opatření
8. Provést přezkoumání managementu
Na co se zaměří certifikační orgán během auditů navíc?
 Analýzu dopadu normy ISO/IEC 27001:2022 a ISO/IEC 27002:2022 na potřebu změn ve Vašem systému managementu bezpečnosti informací
 Přezkoumání organizačních, lidských, technických a fyzických opatření navazujících na ISO/IEC 27002:2022
 Aktualizaci Prohlášení o aplikovatelnosti
 Implementaci a účinnost nových nebo změněných činností a postupů ve Vaší organizaci