Multicert

Bezpłatna wycena

ISO · w 2h, bez zobowiązań

Wyceń →
ISO

Nowa–stara norma ISO 27001:2022 — okres przejściowy już zakończony

ISO/IEC 27001:2022 — przegląd zmian, terminy okresu przejściowego oraz wpływ na certyfikowane organizacje. Większość zmian dotyczy struktury; kluczowe zmiany — w Załączniku A.

Zespół Multicert 5 min czytania
ZM

Zespół Multicert

Redakcja Multicert · Akredytowana jednostka certyfikująca

Norma ISO/IEC 27001:2022 to trzecia edycja głównej międzynarodowej normy systemu zarządzania bezpieczeństwem informacji (po wersjach 2005 oraz 2013). Formalnie wprowadza znaczące zmiany — szczególnie w Załączniku A — lecz większość rdzeniowych wymagań pozostaje niezmieniona. Dla organizacji wdrażających normę po raz pierwszy różnica jest niewielka. Dla organizacji posiadających certyfikat z 2013 roku przejście było obowiązkowe do 31 października 2025 roku.

Co się nie zmieniło

Sekcje 4–10 normy — czyli wymagania systemu zarządzania — pozostały w 90% niezmienione. Struktura HLS (struktura wysokiego poziomu) jest ta sama: kontekst, przywództwo, planowanie, wsparcie, działania, ocena, doskonalenie. Cykl PDCA (planuj–wykonaj–sprawdź–działaj) bez zmian. Wymagania dotyczące polityki, ról, oceny ryzyk, planu postępowania z ryzykiem, audytu wewnętrznego, przeglądu zarządzania — bez zmian.

Co się zmieniło w sekcjach 4–10

Drobne, ale warte uwagi:

  • 4.4 doprecyzowanie wymagań dotyczących procesów SZBI i ich interakcji
  • 6.3 Planowanie zmian — nowa klauzula wymagająca udokumentowanego planu zmian (analogiczna do ISO 9001:2015)
  • 8.1 Planowanie i nadzór nad działaniami operacyjnymi — bardziej szczegółowe wymagania dotyczące zlecania prac na zewnątrz i kontroli zmian operacyjnych
  • 9.3 Przegląd zarządzania — drobne uściślenia danych wejściowych (m.in. zmiany w kwestiach zewnętrznych i wewnętrznych)

Co się zmieniło w Załączniku A — najwięcej

To tutaj znajduje się 90% zmian merytorycznych:

Konsolidacja: 114 kontroli (2013) → 93 kontroli (2022). Część kontroli z 2013 r. została skonsolidowana (np. wszystkie dotyczące kryptografii w jedną grupę technologiczną).

Nowa struktura — 4 kategorie:

  • A.5 Organizacyjne (37 kontroli) — polityki, klasyfikacja informacji, dostęp, dostawcy
  • A.6 Dotyczące osób (8 kontroli) — weryfikacja kandydatów, szkolenia, umowy o poufności
  • A.7 Fizyczne (14 kontroli) — strefy, kontrola fizyczna dostępu, ochrona sprzętu
  • A.8 Technologiczne (34 kontroli) — kryptografia, kopie zapasowe, zapisy zdarzeń, bezpieczne tworzenie oprogramowania

11 zupełnie nowych kontroli adresujących obszary nieujęte w wersji 2013: analiza zagrożeń, bezpieczeństwo usług chmurowych, gotowość ICT do zachowania ciągłości działania, monitorowanie bezpieczeństwa fizycznego, zarządzanie konfiguracją, usuwanie informacji, maskowanie danych, zapobieganie wyciekom danych (DLP), monitorowanie działań, filtrowanie ruchu internetowego, bezpieczne kodowanie.

ISO 27001:2013 vs ISO 27001:2022 — porównanie

KryteriumISO 27001:2013ISO 27001:2022
Liczba kontroli Załącznika A11493
Struktura kontroli14 obszarów (A.5–A.18)4 kategorie (A.5–A.8)
Nowe kontrole11
Klauzula Planowanie zmianbrak6.3 (nowa)
Status certyfikatunieważny po 31.10.2025jedyna obowiązująca wersja

Atrybuty kontroli — narzędzie do mapowania

Każda kontrola w ISO/IEC 27002:2022 posiada 5 atrybutów (typ kontroli, właściwości poufności-integralności-dostępności, koncepcje cyberbezpieczeństwa wg NIST CSF, zdolności operacyjne, domeny bezpieczeństwa). Stanowi to istotne ułatwienie dla organizacji łączących zgodność z różnymi ramami odniesienia (NIST CSF, dyrektywa NIS2, RODO).

Plan działania dla organizacji już certyfikowanych

Dla organizacji, które zdążyły z przejściem, cykl certyfikacji 2022 przebiega standardowo (3 lata, audyty nadzoru po roku 1 i 2). Kolejna recertyfikacja — w roku 3 od daty wystawienia certyfikatu 2022.

Dla wdrażających po raz pierwszy — norma 2022 stanowi jedyną dostępną opcję. Wdrożenie zwykle 6–12 miesięcy w średniej organizacji; certyfikacja — kolejne 4–8 tygodni.

Szczegóły procesu: certyfikacja ISO 27001.

Powiązane artykuły:

Najczęstsze pytania

Kiedy zakończył się okres przejściowy do ISO 27001:2022? +
31 października 2025 roku. Po tej dacie certyfikaty na ISO 27001:2013 utraciły ważność.
Co się zmieniło w sekcjach 4–10? +
Niewiele — drobne uściślenia. Nowość: klauzula 6.3 Planning of Changes.
Co się zmieniło w Załączniku A? +
114 → 93 kontrole, 4 nowe kategorie (organizacyjne, ludzie, fizyczne, technologiczne), 11 nowych kontroli.
Czy ISO 27001:2022 jest trudniejszy niż 2013? +
Nie. Główne wymagania pozostały te same. Nowości formalizują katalog kontroli.
Co w przypadku, gdy organizacja nie zdążyła z przejściem? +
Po 31 października 2025 roku wymagana jest pełna ścieżka certyfikacji ISO 27001:2022.

Autor artykułu

ZM

Zespół Multicert

Redakcja Multicert · Akredytacja PCA AC 210

Artykuły przygotowuje zespół audytorów i specjalistów Multicert z wieloletnim doświadczeniem w certyfikacji systemów ISO, wyrobów CE oraz regulacjach UE.

← Wszystkie artykuły 29 października 2025
Zadzwoń Bezpłatna wycena