Komunikat nr 384

Polskie Centrum Akredytacji informuje, że opublikowane zostało nowe wydanie normy ISO/IEC 27001:2022 "Information security, cybersecurity and privacy protection – Information security management systems – Requirements".

IAF ustaliło 36-miesięczny okres przejściowy dla akredytowanych jednostek certyfikujących  systemy zrządzania bezpieczeństwem informacji (ISMS) na wdrożenie w realizowanej działalności normy ISO/IEC 27001:2022. Okres ten jest liczony od ostatniego dnia miesiącajej opublikowania, tj. od 31 października 2022 r. Szczegóły dotyczące okresu przejściowego i obowiązujących zasad przejścia zostały zawarte w dokumencie IAF MD 26:2022 Transition Requirements for ISO/IEC 27001:2022. Dokument ten jest dostępny w polskiej wersji językowej na stronie www.pca.gov.pl.

W myśl ustaleń powyższego dokumentu, w przypadku, gdy do dnia 31.10.2023 r. akredytowana jednostka certyfikująca systemy zarządzania bezpieczeństwem informacji nie uzyska w wyniku oceny PCA potwierdzenia kompetencji do realizacji procesów certyfikacji na zgodność z wymaganiami normy ISO/IEC 27001:2022, z przyczyn leżących po stronie jednostki, akredytacja w tym obszarze zostanie przez PCA zawieszona, do czasu takiego potwierdzenia albo do upływu terminu okresu przejściowego. Po tym terminie akredytacje, które nie zostaną uaktualnione, będą cofane w trybie określonym w dokumencie DA-01.

Akredytowane jednostki certyfikujące systemy zrządzania bezpieczeństwem informacji, zainteresowane prowadzeniem akredytowanej certyfikacji na zgodność z wymaganiami normy ISO/IEC 27001:2022, powinny złożyć w PCA wniosek o uaktualnienie zakresu akredytacji najpóźniej do dnia 28.02.2023 r.

Od dnia 1.05.2023 r. wszystkie oceny w procesie akredytacji/rozszerzenia zakresu akredytacji jednostek certyfikujących systemy zarządzania bezpieczeństwem informacji będą realizowane przez PCA wyłącznie w odniesieniu do działalności certyfikacyjnej na zgodność z wymaganiami normy ISO/IEC 27001:2022.

Procesy akredytacji/rozszerzenia zakresu akredytacji jednostek certyfikujących systemy zarządzania bezpieczeństwem informacji na zgodność z wymaganiami normy PN-EN ISO/IEC 27001:2017-06, będące w toku przed 1.05.2023 r. mogą być kontynuowane pod warunkiem, że przed udzieleniem akredytacji/rozszerzenia zakresu akredytacji wnioskujący podmiot wykaże kompetencje i uzyska ich potwierdzenie dla ww. działalności w obszarze wymagań normy ISO/IEC 27001:2022.

Oceny dla celów uaktualnienia zakresu akredytacji jednostek certyfikujących systemy zarządzania bezpieczeństwem informacji będą realizowane przez PCA w formie ocen na miejscu w ramach planowanego nadzoru lub jako oceny dodatkowe, w wymiarze minimum 0,5 audytorodnia.