ISO 27001:2022 határidő után: mit tegyél, ha átálltál – és
mit, ha nem?
Lejárt a határidő – de most jön a lényeg
2025. október 31. sok szervezetnél piros betűs dátum volt. Addig kellett átállni az ISO
27001:2022 verzióra. De a kérdés most már nem az, hogy sikerült-e. Hanem az, hogy mi
következik ezután.
Két tipikus helyzet van: vagy már túl vagy az átállási auditon, vagy most szembesülsz vele,
hogy kimaradtál. Mindkettőnél ugyanaz derül ki gyorsan: mennyire működik valójában az
ISMS.
Ha átálltál: most derül ki, mit ért az egész
Sok szervezetnél az átállás egy projekt volt: Annex A frissítés, új kontrollok beemelése,
dokumentáció rendbetétele. Ez rendben van – de az auditok innentől nem ezt fogják nézni.
Az új verzióban különösen látszik, ha a kontrollok csak „át lettek vezetve”, de nem épültek be
a működésbe. Például a felhőhasználat, a threat intelligence vagy az adatvesztés-megelőzés
nem papíron dől el, hanem a napi működésben.
Olyan ez, mint egy frissített térkép: attól, hogy új verziód van, még nem biztos, hogy tudod is
használni.
Ha nem álltál át: ez már nem csak formalitás
Ha kimaradt az átállás, a legtöbb esetben nem egyszerű „pótlás” jön, hanem egy újraindított
auditfolyamat. Ez azt jelenti, hogy az auditor gyakorlatilag nulláról nézi újra a rendszert.
Itt a kritikus pont a Statement of Applicability és a kockázatkezelés. Nem az a kérdés, hogy
milyen kontrollokat írtál le, hanem az, hogy ezek tényleg a kockázatokból következnek-e – és
vissza is tudod-e vezetni.
Ha a kockázatelemzés és a kontrollok külön életet élnek, az az auditon nagyon gyorsan
látszik.
A valódi teszt: működik-e együtt a rendszer?
Akár átálltál, akár nem, a következő auditok ugyanarra fókuszálnak: él-e a rendszer. A belső
auditok, a vezetőségi felülvizsgálatok és a napi működés mutatják meg, hogy az ISMS tényleg
irányít-e – vagy csak dokumentált.
A kritikus pont az, hogy összeér-e a kockázatelemzés, a Statement of Applicability és a
tényleges működés. Ha a kontrollok nem a kockázatokból következnek, vagy a működésben
nem hagynak nyomot, az az auditon nagyon gyorsan láthatóvá válik.
Végül nem az dönti el a megfelelést, hogy hány kontroll szerepel a rendszerben. Hanem az,
hogy a szervezet képes-e ezeket következetesen működtetni – és ezt bizonyítani is.
