top of page

НОВАЯ ВЕРСИЯ СТАНДАРТА ISO/IEC 27001:2022. ЧТО ВАЖНО ЗНАТЬ БИЗНЕСУ?

Обновлено: 13 июн.

Новая версия стандарта ISO 27001:2022 представляет умеренное обновление международного стандарта по управлению информационной безопасностью. Эта версия стандарта содержит ряд изменений и нововведений, которые помогут организациям улучшить свою информационную безопасность и защитить свою конфиденциальную информацию, а также создают на несколько лет особые возможности в мире бизнеса. В этой статье мы рассмотрим ключевые аспекты и различия новой версии стандарта ISO 27001:2022 от предыдущей версии и объясним, в чем преимущества сертификации по новой версии стандарта.


Доступны предложения по сертификации по новой версии ISO 27001:2022 и обучение по переходу
Новая версия стандарта ISO 27001:2022 открывает потрясающие конкурентные преимущества и возможности бизнесу в сфере ИТ и информационной безопасности

📌 Executive резюме для топ-менеджеров

Если вы ведете бизнес в сфере ИТ, телекоммуникаций, облачного хранения данных, работаете с конфиденциальной информацией, а также если участвуете в тендерах или планируете заключать новые сделки с крупными компаниями из Европейского Союза, США, Великобритании, Канады и таких стран Юго-Восточной Азии и Ближнего Востока, как Сингапур, Малайзия, Южная Корея, Индонезия, Австралия, ОАЭ, то следует обратить особое внимание на сертификацию по новой версии стандарта ISO 27001:2022.


Пройдя сертификацию до 2024 года уже по новой версии стандарта ISO/IEC 27001:2022, вы можете опередить не только большинство конкурентов, но отрасль в целом, оставив позади многие компании, которые перейдут на новую версию ISO 27001:2022 до конца 2025 года, находясь еще в переходном периоде.


Дата публикации новой версии

25 октября 2022 года была опубликована новая версия ISO/IEC 27001:2022. Некоторые из основных обновлений включают крупное изменение Приложения A, небольшие обновления условий и изменение названия стандарта.

Последняя версия ISO/IEC 27002 была опубликована в начале 2022 года и ее последние изменения также повлияли на ISO/IEC 27001.


Изменения в ISO/IEC 27001:2022

Новая версия стандарта ISO 27001:2022 содержит несколько заметных изменений, но они в основном относятся к приложению А, общей структуре, используемой в новых стандартах систем управления, а не к информационной безопасности:

  • Контекст и область применения Теперь вам нужно определить «соответствующие» требования заинтересованных сторон и определить, какие требования будут рассматриваться в рамках ИСБ. ИСБ теперь явно включает «необходимые процессы и их взаимодействие».

  • Планирование Цели информационной безопасности должны отслеживаться и быть доступны в качестве документированной информации. Введено новое подразделение по планированию изменений в ИСБ. В нем не указываются процессы, которые должны быть включены, поэтому необходимо определить, как можно доказать, что изменения в ИСБ были запланированы.

  • Поддержка Требования к определению тех, кто будет осуществлять коммуникацию, и процессов осуществления коммуникации заменены требованием определить, как будет осуществляться коммуникация.

  • Действия Требование разработать план по достижению целей информационной безопасности заменено требованием установить критерии для процессов, реализующих действия, определенные в разделе 6, и контролировать эти процессы в соответствии с критериями.

Организации теперь должны контролировать «внешние процессы, продукты или услуги», относящиеся к ИСБ, а не только процессы.

Переходный период ISO 27001:2022. Сроки перехода на новую версию.

Версия 2022 года стандарта ISO/IEC 27001, устанавливающего требования к системе управления информационной безопасностью (СУИБ), была выпущена 25 октября 2022 года. Аккредитованные органы сертификации получат 12-месячный переходной период, начиная с последнего дня месяца выпуска ISO/IEC 27001:2022 (т.е. 31 октября 2023 года), чтобы перейти на новую версию. Самим же организациям, с другой стороны, будет предоставлено 36 месяцев, начиная с последнего дня месяца выпуска стандарта (т.е. до 31 октября 2025 года), чтобы перейти на новую версию.



Пиктограмма описывает ключевые изменения в новой версии стандарта исо 27001
Новая версия стандарта ISO 27001:2022 | Сертификация исо в Казахстане, Узбекистане, Центральной Азии и Восточной Европе


💡 Ключевые изменения (для специалистов)

Хотя несколько пунктов были переформулированы или упорядочены в ISO/IEC 27001:2022, новых требований в пунктах 4-10 минимально.

Однако, вероятно, следует ожидать значительного влияния на управление СУИБ из-за изменений в пункте 4.4, который теперь требует установления, внедрения, поддержки и непрерывного улучшения процессов и их взаимодействия.

В новой версии стандарта 2022 года в пункте 3 были введены новые требования, дополнив его ссылками на базы данных ISO и IEC, в пункте 4.2 (с) добавлен новый пункт, а в пункте 6.3 добавлен новый раздел "Планирование изменений".


В пункте 5.1 также была добавлена примечание для уточнения термина "бизнес".

Всего в версии 2022 года 93 контроля, 11 из которых новые, по сравнению с 114 контролями в версии 2013 года. Кроме того, 56 контролов в ISO/IEC 27001:2013 были объединены в 24 контроля в ISO/IEC 27001:2022.

💡 93 контроля теперь разделены на четыре группы:

  • Организационные (31 контроль, 3 из которых новые и 28 объединены)

  • Люди (нет новых контролов, 2 объединенных контроля)

  • Физические (6 контролов, 1 из которых новый и 5 объединенных)

  • и Технические (28 контролов, 7 из которых новые и 21 объединенных).

Какие изменения в Приложении A?

Приложение A было пересмотрено в соответствии с контролями информационной безопасности в ISO/IEC 27002:2022, что является наиболее существенным изменением в ISO/IEC 27001:2022. Только незначительные редакционные изменения были внесены в пункты 4-10, чтобы привести структуру в соответствие с другими стандартами систем управления.


Для организаций, которые уже сертифицированы по ISO/IEC 27001:2013, может потребоваться умеренные усилия для перехода на новое издание. Эти усилия могут включать в себя пересмотр внутренних политик в соответствии с новыми подпунктами и обновленными требованиями, а также обновление результатов оценки рисков и планов по обработке рисков в соответствии с Приложением A ISO/IEC 27001:2022.


💡 Подробнее об изменениях (для специалистов)

Несколько контролов приложения A были объединены, а 11 добавлены.

  • Несмотря на то, что никакие контролы не были удалены, в ISO 27001:2022 перечислено только 93 контрола вместо 114 в ISO 27001:2013. Это связано с большим количеством объединенных контролов (56 в 24).

  • Эти контролы разделены на 4 "темы", а не на 14 пунктов. Они такие:

    • Люди (8 контролов)

    • Организационные (37 контролов)

    • Технологические (34 контроля)

    • Физические (14 контролов)

💡 Совершенно новые контролы (для специалистов)

  • Информационная безопасность для использования облачных сервисов

  • Готовность ИКТ для обеспечения бизнес-непрерывности

  • Мониторинг физической безопасности

  • Управление конфигурацией

  • Удаление информации

  • Маскирование данных

  • Предотвращение утечки данных

  • Мониторинг деятельности

  • Фильтрация веб-сайтов

  • Безопасная разработка


💡 В ISO 27002 элементы управления (контролы) имеют пять типов "атрибутов", облегчая их классификацию:

  • Тип контроля (предотвращающий, выявляющий, корректирующий)

  • Свойства информационной безопасности (конфиденциальность, целостность, доступность)

  • Кибербезопасность (идентификация, защита, обнаружение, реагирование, восстановление)

  • Операционные возможности (управление, управление активами и т. д.)

  • Области безопасности (управление и экосистемы, защита, защита, устойчивость)

Резюме

Новая версия стандарта ISO/IEC 27001:2022 представляет собой обновленную версию международного стандарта управления информационной безопасностью. В этой версии стандарта содержатся новые требования и рекомендации для эффективного управления информационной безопасностью в организации. Некоторые из нововведений включают улучшенную защиту от угроз и уязвимостей, а также более строгие требования к управлению рисками и управлению доступом.


Цель стандарта ISO 27001:2022 - обеспечить управление информационной безопасностью в организациях любого размера. Стандарт помогает организациям управлять рисками, связанными с информационной безопасностью, и защищать конфиденциальную информацию от утечек. Это включает защиту от несанкционированного доступа к информации, предотвращение взломов, вирусов и других угроз информационной безопасности.


Как и ожидалось, в новой версии стандарта стандарта ISO/IEC 27001: 2022 было пересмотрено Приложение A для соответствия контролям информационной безопасности. Это также, по сути, самое значительное изменение стандарта ISO / IEC 27001: 2022. Изменения в пунктах 4-10 являются незначительными редакционными изменениями для дальнейшей гармонизации структуры стандарта с другими стандартами систем управления. Для перехода на новую версию стандарта могут потребоваться умеренные усилия для тех организаций, которые уже сертифицированы по стандарту ISO/IEC 27001: 2013. Эти дейтствия могут включать пересмотр внутренних политик в соответствии с новыми подразделами и измененными требованиями, а также результаты оценки рисков и план по обработке рисков в соответствии с Приложением A стандарта ISO/IEC 27001: 2022.


Остались вопросы? Напишите нам, воспользовавшись формой контакта или напишите в комментарии ниже.

Хотите получить индивидуальное предложение по новой версии стандарта ISO 27001:2022 напрямую от органа по сертификации?





143 просмотра0 комментариев

Comentários


bottom of page