ISO/IEC 27001:2022 — migrarea de la ediția 2013 cu cele 93 controale reorganizate în 4 teme
Modificările ISO 27001:2013 → 2022: de la 114 la 93 controale, cele 11 controale noi, reorganizarea în 4 teme și migration path concret pentru organizații deja certificate.
ISO/IEC 27001:2022 — migrarea de la ediția 2013 cu cele 93 controale reorganizate în 4 teme
ISO/IEC 27001 a fost actualizat în octombrie 2022, după 9 ani de la ediția anterioară. Modificarea cea mai vizibilă: numărul de controale din Anexa A a scăzut de la 114 la 93, iar cele 14 categorii din ediția 2013 au fost reorganizate în 4 teme. Pentru organizațiile deja certificate, perioada de tranziție stabilită de IAF s-a încheiat la 31 octombrie 2025 — toate organismele de certificare au început să auditeze exclusiv pe ediția 2022 din 1 noiembrie 2025.
Acest articol explică modificările cheie și oferă un migration path practic pentru un ISMS existent.
TL;DR
- ISO 27001:2022 publicat oct 2022 + ISO 27002:2022 publicat feb 2022.
- 93 controale (vs 114) în 4 teme: organizational, people, physical, technological.
- 11 controale noi: threat intel, cloud security, ICT readiness for business continuity, secure coding, etc.
- Tranziție IAF închisă la 31 oct 2025 — toate certificările activă necesită upgrade.
- Migration path tipic pentru ISMS matur: 4-6 luni cu un audit transition.
Modificările principale față de 2013
Numărul de controale. 114 → 93. Reducerea vine din comasarea unor controale similare (ex: politicile de securitate au fost grupate într-un singur control 5.1) și retragerea unor controale care nu mai sunt relevante în contextul modern (ex: anumite controale legate de fax-uri și media tipărită).
Reorganizarea pe teme. Cele 14 categorii din 2013 au fost simplificate în 4 teme:
- A.5 Organizational (37 controale) — politici, roluri, gestiune furnizori, gestiune incidente.
- A.6 People (8 controale) — screening, training, terminare, NDA-uri, remote work.
- A.7 Physical (14 controale) — perimetru, acces fizic, echipamente.
- A.8 Technological (34 controale) — endpoint, rețea, criptografie, dezvoltare software, monitoring, backup.
Atributele controalelor. Edition 2022 introduce un sistem de atribute care permite filtrarea/raportarea controalelor pe 5 dimensiuni:
- Control type: preventive, detective, corrective.
- Information security properties: confidentiality, integrity, availability.
- Cybersecurity concepts: identify, protect, detect, respond, recover (NIST CSF mapping).
- Operational capabilities: governance, asset management, IAM, threat & vulnerability management, etc.
- Security domains: governance & ecosystem, protection, defence, resilience.
Atributele sunt opționale dar extrem de utile pentru organizațiile care folosesc multiple frameworks (NIST CSF, SOC 2, NIS2). Permit cross-mapping-ul rapid.
Cerințele clauzelor 4-10. Modificări minore, în principal pentru aliniere cu Annex SL (structura comună ISO management systems). Notabil: clauza 6.3 nouă pe “planning of changes” și extinderea cerințelor pe context organizational.
Cele 11 controale noi în 2022
| Control | Nume | Ce probează |
|---|---|---|
| 5.7 | Threat intelligence | Procese de colectare și analiză threat intel; aplicare în decizii operaționale. |
| 5.23 | Information security for use of cloud services | Procese formale de evaluare risc pentru cloud, contracte cu CSP, exit plan. |
| 5.30 | ICT readiness for business continuity | Plan IT-DR testat anual, scenarii multiple, RTO/RPO documentate. |
| 7.4 | Physical security monitoring | CCTV, alarme, monitoring continuu al perimetrului fizic critic. |
| 8.9 | Configuration management | Baseline-uri de configurare aprobate, drift detection, remedial action. |
| 8.10 | Information deletion | Politici de ștergere conform retenției, dovada execuției la EOL. |
| 8.11 | Data masking | Tehnici de masking pentru date sensibile în non-producție. |
| 8.12 | Data leakage prevention | DLP la endpoint, network, cloud; clasificare suportată. |
| 8.16 | Monitoring activities | Logging activ pe sisteme, rețele, aplicații; SIEM integration. |
| 8.23 | Web filtering | Filtrare URL/categorie pentru endpoint și gateway. |
| 8.28 | Secure coding | Standarde scrise (OWASP Top 10, SAMM), training dev, code review. |
Pentru organizațiile care lucrau deja cu maturitate medie, multe din aceste controale erau implementate de facto. Cu ISO 27001:2022 ele devin formalizate și auditate explicit.
Migration path în 6 luni — checklist
Luna 1 — gap analysis:
- Comparare SoA (Statement of Applicability) existent cu Annex A 2022.
- Mapping 1:1 al controalelor 2013 → 2022 (ISO oferă tabel de cross-reference în Anexa B la 27001:2022).
- Identificare cele 11 controale noi și nivel de implementare actual.
- Update risk assessment cu noile categorii de risc (cloud, threat intel).
Luna 2 — actualizare documente:
- SoA nou cu 93 controale și justificare exclusion-uri.
- Risk register actualizat cu mapping atribute.
- ISMS scope reconfirmat (clauza 4.3).
- Politici și proceduri actualizate pentru cele 11 controale noi.
Luna 3 — implementare controale noi:
- 5.7 threat intel — abonare la flux, integrare în decizii.
- 5.23 cloud — review contracte CSP, plan exit.
- 5.30 ICT BC — plan IT-DR scris, test exercise programat.
- 8.9 config mgmt — tool de drift detection (Wazuh FIM, Tripwire, OSQuery).
- 8.16 monitoring — SIEM acoperă scope.
- 8.28 secure coding — training, SAST în pipeline.
Luna 4 — internal audit & management review:
- Internal audit complet pe ediția 2022 cu auditor instruit pe modificări.
- Management review cu output documentat — top management aprobă modificările.
- Plan de acțiune corectiv pentru gap-uri identificate.
Luna 5 — pregătire transition audit:
- Coordonare cu certification body pe data transition audit (separat sau combinat cu surveillance audit).
- Pre-audit checklist parcurs intern.
- Document evidence repository organizat per control.
Luna 6 — transition audit:
- Audit on-site sau remote, durată 1-3 zile in funcție de organizație.
- Răspuns la non-conformități (NCR) majore în 90 zile.
- Certificat reemis pe ediția 2022.
Cerințe pentru organizații în industrii reglementate
Pentru entitățile care operează în sectoare reglementate, ISO 27001:2022 acoperă substanțial cerințele tehnice ale altor cadre. Cross-mapping-ul tipic:
- NIS2 Art. 21 (detalii NIS2): cele 10 măsuri minime sunt acoperite de aproximativ 60-70 controale din Annex A.
- DORA ICT Risk (detalii DORA): cadrul de management al riscurilor TIC poate fi instanțiat ca un ISMS conform 27001:2022.
- GDPR Art. 32 (security of processing): controalele tehnice și organizatorice cerute sunt subset al Annex A.
- EU AI Act Art. 15 (detalii AI Act): cerințele de cybersecurity pentru high-risk AI se mapează pe controalele tehnologice 8.x.
- CRA (detalii CRA): cerințele de product security pentru fabricanți se acoperă parțial.
Beneficiul practic: cu un ISMS 27001:2022 maturizat, audit-urile pe alte cadre devin un derivat. Aproximativ 70-80% din evidence se reutilizează.
Cum ajută Lexnomia
Lexnomia include un modul ISO 27001:2022 care:
- SoA generator cu 93 controale și mapping atribute pre-completat.
- Risk register integrat cu inventarul de aplicații și sisteme.
- Evidence collection automatizat din IdP, SIEM, ITSM, Git.
- Cross-mapping live cu NIS2, DORA, GDPR, AI Act, CRA.
- Internal audit checklist și template-uri management review.
Vezi și articolul nostru pe alternativa la stack-ul GRC american pentru context strategic.
Articole conexe
- Implementation NIS2 — checklist operațional pentru entități esențiale și importante
- DORA Regulation 2022/2554 — cele cinci pillar-uri pentru banking, fintech și asigurări
- Cyber Resilience Act (Regulamentul 2024/2847) — obligații pentru produse cu element digital
- Lexnomia vs OneTrust, TrustArc și Drata — alternativa europeană
- Pillar Lexnomia — platforma EU de compliance suveran
Pași următori
Pentru o evaluare ISO 27001:2022 readiness și planul de transition — pe pagina Lexnomia găsiți modulul ISO. Sau scrieți la contact pentru o discuție tehnică.