ISO (Starptautiskā standartizācijas organizācija) 2022. gada oktobrī ir publicējusi pārskatītu standartu ISO/IEC 27001:2022 “Informācijas drošība, kiberdrošība un privātuma aizsardzība. Informācijas drošības pārvaldības sistēmas. Prasības”. Savukārt Starptautiskais akreditācijas forums (International Accreditation Forum – IAF) 2023. gada 15. februārī publicējis dokumentu IAF MD 26:2023 “ISO/IEC 27001:2022 pārejas prasība” (turpmāk – IAF MD 26).

Dokumentā IAF MD 26 noteikts, ka:

  1. pārejas periods no standarta ISO/IEC 27001:2013 versijas uz standarta ISO/IEC 27001:2022 versiju ir 3 gadi no standarta publicēšanas brīža, proti, līdz 2025. gada oktobrim;
  2. nacionālajam akreditācijas birojam no 2023. gada 30. aprīļa jābūt gatavam veikt sertifikācijas institūciju novērtēšanu atbilstoši standarta ISO/IEC 27001:2022 versijai;
  3. nacionālais akreditācijas birojs sākot no 2023. gada 30. aprīļa sertifikācijas institūcijas sākotnējās akreditācijas procesu ietvaros novērtē institūcijas atbilstību standarta ISO/IEC 27001:2022 versijas prasībām;
  4. nacionālais akreditācijas birojs līdz 2023. gada 31. oktobrim novērtē akreditētās sertifikācijas institūcijas atbilstību standarta ISO/IEC 27001:2022 versijas prasībām;
  5. sertifikācijas institūcijas, veicot uzņēmumu sākotnējās sertifikācijas procesu, sākot no 2024. gada 30 aprīļa pielieto standarta ISO/IEC 27001:2022 versiju;
  6. sertificētie uzņēmumi jāpārvērtē atbilstoši standarta ISO ISO/IEC 27001:2022 versijai līdz 2025. gada 31. oktobrim.

 

Ņemot vērā minētos IAF noteiktos termiņus, valsts aģentūra “Latvijas Nacionālais akreditācijas birojs” (turpmāk – LATAK) nosaka pārejas periodu - līdz 2023.gada 31. oktobrim visu sertifikācijas institūciju, kas akreditētas uz ISO/IEC 27001:2013, pārvērtēt atbilstoši standarta ISO/IEC 27001:2022 versijai.

 

Prasības dokumentācijai

Sertifikācijas institūcijas tiek aicinātas iesniegt akreditācijas sfēras paplašināšanas pieteikumu, izmantojot pieteikuma veidlapu, kopā ar dokumentiem, kas apliecina pārskatītā standarta ieviešanu.

Sertifikācijas iestādei jānodrošina pilns dokumentu kopums, lai pierādītu, ka ISO/IEC 27001:2022 prasības ir pilnībā ieviestas tās sertifikācijas procesos, atbilstoši ISO/IEC 17021-1:2015:

  1. Operacionālo atšķirību (Gap) analīze starp standarta veco un jauno redakciju. Gap analīzē jābūt norādītai izmaiņu ietekmei uz sertifikācijas darbībām, kā arī pasākumi, kas jāveic, lai veiktu efektīvu sertifikāciju atbilstoši pārskatītajam standartam.
  2. Detalizēts pārejas plāns uz pārskatīto standartu, lai veiktu nepieciešamās izmaiņas visām darbībām, kas atklātas Gap analīzē, kā arī paredzamais grafiks klientu pārejai uz pārskatīto standartu. Tāpat arī ar pārejas plānu saistītie apliecinājumi par to, kā sertifikācijas institūcija plāno vadīt jauno sertifikācijas programmu un klientiem sniedzamā informācija par pāreju uz pārskatīto standartu.
  3. Apstiprināto auditoru saraksts ar norādēm pie auditoriem, kuri veiksmīgi pabeiguši mācību kursu par pārskatīto standartu (ISO/IEC 27001:2022) ar apliecinājumiem par attiecīgo apmācību. Jānorāda arī informācija par mācību plāniem attiecībā uz atlikušajiem auditoriem un citu sertifikācijā iesaistīto personālu no pieteikuma saņemšanas līdz sertifikācijas lēmuma pieņemšanai.
  4.  Izmaiņas procedūrās, instrukcijās (ja piemērojamas), kā arī ziņojumu formās un veidlapās.

LATAK veidlapas ir pieejamas LATAK mājas lapā http://www.latak.gov.lv sadaļā Dokumenti Pārvaldības sistēmu sertificēšanas institūcijām.

Visu informāciju var iesniegt elektroniski, nosūtot to LATAK uz  e-pasta adresi pasts@latak.gov.lv vai iesniegt LATAK birojā.

 

Pārejas procesa norise

LATAK pārejas process ir vērsts uz to, lai nodrošinātu, ka pārvaldības sistēmu sertifikācijas institūcijām ir pilnīga iespēja izpildīt līdz norādītajam termiņam pāreju.

Lai nodrošinātu, ka sertifikācijas institūciju esošajiem sertificētajiem klientiem ir laiks pāriet uz pārskatīto standartu, LATAK plāno veikt sfēras paplašināšanas vērtēšanas katrai akreditētai institūcijai nākošajās plānotajās biroja vizītēs, atbilstoši institūcijas pieteikumam, ņemot vērā LATAK noteikto pārejas termiņu. LATAK pēc institūcijas pieprasījuma var organizēt arī ārpuskārtas sfēras paplašināšanas vērtēšanu.

Lai nodrošinātu savlaicīgu pieteikuma izskatīšanu, pārejas vērtēšanu, korektīvo darbību veikšanu un lēmuma pieņemšanu, lūdzam iesniegt pieteikumu kopā ar dokumentāciju sākotnējai vērtēšanai 2 (divus) mēnešus pirms biroja vizītes, savukārt biroja vizīti plānot ne vēlāk kā 6 mēnešus pirms LATAK noteiktā pārejas perioda beigām (t.i., biroja vizīti ieteicams plānot līdz 2023.gada 31. oktobrim) akreditācijai uz ISO/IEC 27001:2022.

Sertifikācijas institūcijas biroja vizītes laikā tiks pārskatīta sertifikācijas institūcijas kompetence un gatavība izsniegt akreditētu sertifikātu atbilstoši pārskatītajam standartam, kā arī vadības sistēmas piemērotība, lai atspoguļotu atjauninātās prasības. Sertifikācijas institūcijām ir jābūt gatavām, ka tas var izraisīt papildu vērtēšanas apjomus orientējoši 0,5 dienas apmērā vadošajam vērtētājam un ekspertam.  

Sertificēto klientu pārejas plāna izpilde tiks vērtēta nākošajās institūcijas biroja vērtēšanās.

Šī pārejas procesa ietvaros netiek plānots veikt sertifikācijas institūcijas praktiskās darbības (witnesa audits) novērtēšanu.

Piezīme: šie noteikumi var tikt mainīti sakarā ar jauniem IAF vai EA lēmumiem/rezolūcijām, vai sakarā ar LATAK lēmumu.