ISO 27001:2022 פורסם באוקטובר 2022. ארגונים שקיבלו הסמכה לפי גרסת 2013 צריכים לעדכן את ה-ISMS שלהם עד 31 באוקטובר 2025 – אחרת ההסמכה פוקעת. אלו השינויים הפרקטיים שכל CISO ומנהל אבטחה צריך לדעת.
מבנה חדש: מ-114 ל-93 בקרות
גרסת 2013 כללה 114 בקרות ב-14 דומיינים. גרסת 2022 מכילה 93 בקרות ב-4 פרקים: Organizational, People, Physical, Technological. זה לא רק קיצוץ – אלא איחוד, עדכון, ו-11 בקרות חדשות.
11 הבקרות החדשות
- 5.7 – Threat Intelligence: הארגון חייב לאסוף ולנתח מודיעין איומים
- 5.23 – Information Security for Use of Cloud Services: ניהול ספציפי לסיכוני ענן
- 5.30 – ICT Readiness for Business Continuity: מוכנות ICT להמשכיות עסקית
- 7.4 – Physical Security Monitoring: ניטור אבטחה פיזית (CCTV, לוגים)
- 8.9 – Configuration Management: ניהול קונפיגורציה של כל הנכסים
- 8.10 – Information Deletion: מחיקה מאובטחת כשהמידע אינו נחוץ
- 8.11 – Data Masking: מיסוך מידע רגיש לפי בקרת גישה
- 8.12 – Data Leakage Prevention (DLP): כלי DLP מוגדרים
- 8.16 – Monitoring Activities: ניטור חריגות ואנומליות
- 8.23 – Web Filtering: סינון גישה לאינטרנט
- 8.28 – Secure Coding: תהליכי פיתוח מאובטח (DevSecOps)
מה צריך לעשות לעדכון הסמכה
Gap Assessment מול Annex A החדש, עדכון Statement of Applicability, עדכון Risk Treatment Plan, הדרכת צוות, ולבסוף ביקורת Transition Audit ע"י Certification Body.
גרסת 2022 רלוונטית הרבה יותר לאיומים המודרניים – ענן, AI, Threat Intelligence. ארגון שמתכנן הסמכה חדשה צריך ללכת ישירות ל-2022 ולא לבזבז זמן על 2013.
ISO 27001:2022עדכון תקןAnnex AISMS