1. Въведение
1.1 На страницата на Международната организация по стандартизация (ISO) през октомври е публикуван стандарт ISO/IEC 27001:2022 „Сигурност на информацията, киберсигурност и защита на поверителността. Системи за управление на сигурността на информацията. Изисквания". Той отменя и заменя ISO/IEC 27001:2013.
1.2 Настоящата важна информация дава указания за подхода на ИА БСА за извършването на преход.
1.3 ИА БСА в съответствие с изискванията на прехода към новата версия на стандарта ISO/IEC 27001:2022, публикувани в документа IAF MD 26: 2022 от 09.08.2022 г., прилага изискванията за определеният преходен период:
- 36 месеца за внедряване на стандарта ISO/IEC 27001:2022 от сертифицираните под акредитация организации, като в рамките на този преходен период органите за сертификация на системи за управлене (ОССУ) е необходимо да извършат преход (чрез одит) на своите клиенти към новата ревизия на стандарта. Преходният периода завършва на 31.10.2025Г.
-12 месеца за извършване на преход - оценяване на съответствието на ОССУ с изискванията на акредитация да извършват сертификация по ISO/IEC 27001:2022 и преиздаване на сертификатите за акредитация. Преходният период завършва на 31.10.2023г.
1.4 ИА БСА, съгласувано с IAF MD 26: 2022, в настоящата публикация е изложила своя подход за управлението на прехода, чиито основни цели са да се гарантира, че акредитираните ОССУ са получили равнопоставен и обективен шанс за придобиване на акредитация по ISO/IEC 17021-1:2015 и БДС EN ISO/IEC 27006:2021 (ISO/IEC 27006:2015, включително А1:2020) за предоставяне на сертификация по стандарт ISO/IEC 27001:2022.
1.5 Срокове на валидност на издадени от ОССУ сертификати под акредитация по ISO/IEC 27001:2013 ще останат в сила до края на преходния период до 31.10.2025г. След изтичането на този преходен период, предоставените сертификации под акредитация по ISO/IEC 27001: 2013 няма да бъдат валидни.
Срокът на валидност на издадените от ОССУ под акредитация сертификати по ISO/IEC 27001:2013, по време на преходния период, трябва да съответстват на края на тригодишния преходен период.
2. Подход на ИА БСА за извършване на преход
2.1 ИА БСА изисква от ОССУ да представи Анализ на промените и План за действия за
въвеждане на промените на ISO/IEC 27001:2022 до 01.03.2023.
Планът за действие трябва да демонстрира че ОССУ:
- е анализирал и разбрал промените в новата ревизия на стандарта ISO/IEC 27001:2022;
- установил е необходимостта и е извършил промени в документираната система за управление и процесите на сертификация на ОССУ за осъществяване на прехода (включително докладване, промяна в методологията на одит и други приложими).
- е определил изискванията относно компетентността на персонала, планирани са и са извършени обучения и др.;
- е определил и предприел действията, за оценка на ефективното прилагане на всички промени, така чеда съответства на изискванията на БДС EN ISO/IEC 17021-1:2015 и БДС EN ISO/IEC 27006:2021 (ISO/IEC 27006:2015, включително А1:2020) при сертификация
no ISO/IEC 27001:2022 (провеждане на вътрешни одити, преглед от ръководството и ДР-)-
Планът трябва да съдържа график и срокове за провеждане на действията, съобразени с планираните оценки за надзор, преакредитация, извънредни оценки за преход и отговорни лица. 2.2 Оценка на Анализ на промените и План за действия за преход При планиране и подготовка на офис оценка на ОССУ, Водещият оценител определен да извърши офис оценката ще направи преглед на Анализ на промените и План за действия за преход и съответната документация и документирани доказателства за прилагане на новите изисквания.
2.3 Извършване на Офис оценка; ИА БСА ще извършва оценка на промените по време на планова оценка (надзор или преакредитация) или извънредна оценка за преход, като се спазва реда на Процедурата за акредитация (BAS QR 2) и Инструкция за Управление на програмите за оценяване. (BAS QI 2), като е предвидено допълнително време за оценка на предприетите действия ( 0.5 човекодена). Всички оценки за преход трябва да бъдат извършени до 30.07.2023г.
След 01.03.2023г. ИА БСА ще извършва оценки на ОССУ за сертификация по ISMS само по ISO/IEC 27001:2022 След 01.01.2023, ИА БСА ще открива процедури за първоначална акредитация на ОССУ за сертификация на ISMS само по ISO/IEC 27001:2022.
2.4 Преиздаване на сертификати за акредитация След установяване, чрез оценка на място за преход, че акредитираните ОССУ за обхват сертификация на ISMS са внидрили новата ревизия на стандарта ISO/IEC 27001:2022 и съответстват на изискванията за акредитация, ИА БСА ще преиздава сертификатите за акредитация с позоваване на ревизираната схема за акредитация ISO/IEC 27001:2022 със срок на валидност съгласно действащия сертификат за акредитация.
Сертификатите ще бъдат преиздавани само след привеждане на системата за управление на ОССУ за обхват сертификация на ISMS по ISO/IEC 27001:2022 в съответствие с изискванията за акредитация и при закрити несъответствия, установени по време на оценката за преход, в съответствие с т.4.3.5.2 от Процедурата за акредитация BAS QR. 2.
Ако преди края на преходния период за акредитация на ОССУ по ревизираната схема на сертификация ISO/IEC 27001:2022 не е демострирал съответствие с изискванията, ИА БСА ще констатира неизпълнение на изискванията и след края на преходния период (31.10.2023), ще отнеме предоставената акредитация на ОССУ за обхват сертификация по ISO/IEC 27001:2013.
2.5 Следващата планова оценка на ОССУ, след извършване на оценката за преход и преиздаване на сертификата с новата ревизия на стандарта ISO/IEC 27001:2022, ще се фокусира върху изпълнението на определеният от ОССУ процес на преход, в това число:
- прилагането на ревизираните процеси и процедури на ООС;
- доказателства за демонстриране на компетентността на участващия в процеса на сертификация персонал, преди да участва в дейностите по сертификация по ISO/IEC 27001:2022;
- напредъка на прехода на сертифицираните клиенти към ISO/IEC 27001:2022. - всички оценки за наблюдение на дейността, трябва да бъдат на одити по ISO/IEC 27001:2022 и да се фокусират върху компетентността на ООС за провеждане на одит, базиран на ISO/IEC 27001:2022. 2.6 Допълнителни разпоредби Сертификатите за акредитация, издадени по време на преходния период (3 години), ще съдържат и двата стандарта за сертификация т.е. ISO/IEC 27001:2013 и ISO/IEC 27001:2022. След 31.10.2025 г. от Сертификатите за акредитация ще бъде премахван стандарта ISO/IEC 27001:2013.
3. Задължения на ОССУ във връзка с прехода
3.1 Съгласно IAF MD 26: 2022 е необходимо органите по сертификация да въведат промените в системите си за управление и процесите си и да демонстрират съответствието си с изискванията за акредитация в рамките на 12 месеца от датата на публикуване на ревизирания стандарт.
3.2 Органите за сертификация трябва започнат да извършват одити, за първоначална сертификация, по ISO/IEC 27001:2022 не по късно от 12 месеца от датата на публикуване на ревизирания стандарт.
Издаване на сертификати под акредитация от органите по сертификация.
3.3 Сертификации под акредитация по ISO/IEC 27001:2022, следва да се издават само, когато органа за сертификация е акредитиран да предоставя сертификация по този стандарт и ОССУ е извършил одит по новата ревизия на стандарта на съответния клиент като:
- ясно е идентифицирал и повдигнал като документирани констатации всички несъответствия, които изискват клиента да предприеме действия за привеждане в съответствие с новите изисквания;
- е определил, посредством оценка на коригиращи действия, че клиента е предприел необходимите действия за всички идентифицирани несъответствия и е доказал ефикасност на системата за управление.