Новая версия стандарта ISO 27001:2022 представляет умеренное обновление международного стандарта по управлению информационной безопасностью. Эта версия стандарта содержит ряд изменений и нововведений, которые помогут организациям улучшить свою информационную безопасность и защитить свою конфиденциальную информацию, а также создают на несколько лет особые возможности в мире бизнеса. В этой статье мы рассмотрим ключевые аспекты и различия новой версии стандарта ISO 27001:2022 от предыдущей версии и объясним, в чем преимущества сертификации по новой версии стандарта.
📌 Executive резюме для топ-менеджеров
Если вы ведете бизнес в сфере ИТ, телекоммуникаций, облачного хранения данных, работаете с конфиденциальной информацией, а также если участвуете в тендерах или планируете заключать новые сделки с крупными компаниями из Европейского Союза, США, Великобритании, Канады и таких стран Юго-Восточной Азии и Ближнего Востока, как Сингапур, Малайзия, Южная Корея, Индонезия, Австралия, ОАЭ, то следует обратить особое внимание на сертификацию по новой версии стандарта ISO 27001:2022.
Пройдя сертификацию до 2024 года уже по новой версии стандарта ISO/IEC 27001:2022, вы можете опередить не только большинство конкурентов, но отрасль в целом, оставив позади многие компании, которые перейдут на новую версию ISO 27001:2022 до конца 2025 года, находясь еще в переходном периоде.
Дата публикации новой версии
25 октября 2022 года была опубликована новая версия ISO/IEC 27001:2022. Некоторые из основных обновлений включают крупное изменение Приложения A, небольшие обновления условий и изменение названия стандарта.
Последняя версия ISO/IEC 27002 была опубликована в начале 2022 года и ее последние изменения также повлияли на ISO/IEC 27001.
Изменения в ISO/IEC 27001:2022
Новая версия стандарта ISO 27001:2022 содержит несколько заметных изменений, но они в основном относятся к приложению А, общей структуре, используемой в новых стандартах систем управления, а не к информационной безопасности:
Контекст и область применения Теперь вам нужно определить «соответствующие» требования заинтересованных сторон и определить, какие требования будут рассматриваться в рамках ИСБ. ИСБ теперь явно включает «необходимые процессы и их взаимодействие».
Планирование Цели информационной безопасности должны отслеживаться и быть доступны в качестве документированной информации. Введено новое подразделение по планированию изменений в ИСБ. В нем не указываются процессы, которые должны быть включены, поэтому необходимо определить, как можно доказать, что изменения в ИСБ были запланированы.
Поддержка Требования к определению тех, кто будет осуществлять коммуникацию, и процессов осуществления коммуникации заменены требованием определить, как будет осуществляться коммуникация.
Действия Требование разработать план по достижению целей информационной безопасности заменено требованием установить критерии для процессов, реализующих действия, определенные в разделе 6, и контролировать эти процессы в соответствии с критериями.
Организации теперь должны контролировать «внешние процессы, продукты или услуги», относящиеся к ИСБ, а не только процессы.
Переходный период ISO 27001:2022. Сроки перехода на новую версию.
Версия 2022 года стандарта ISO/IEC 27001, устанавливающего требования к системе управления информационной безопасностью (СУИБ), была выпущена 25 октября 2022 года. Аккредитованные органы сертификации получат 12-месячный переходной период, начиная с последнего дня месяца выпуска ISO/IEC 27001:2022 (т.е. 31 октября 2023 года), чтобы перейти на новую версию. Самим же организациям, с другой стороны, будет предоставлено 36 месяцев, начиная с последнего дня месяца выпуска стандарта (т.е. до 31 октября 2025 года), чтобы перейти на новую версию.
💡 Ключевые изменения (для специалистов)
Хотя несколько пунктов были переформулированы или упорядочены в
ISO/IEC 27001:2022, новых требований в пунктах 4-10 минимально.
Однако, вероятно, следует ожидать значительного влияния на управление СУИБ из-за изменений в пункте 4.4, который теперь требует установления, внедрения, поддержки и непрерывного улучшения процессов и их взаимодействия.
В новой версии стандарта 2022 года в пункте 3 были введены новые требования, дополнив его ссылками на базы данных ISO и IEC, в пункте 4.2 (с) добавлен новый пункт, а в пункте 6.3 добавлен новый раздел "Планирование изменений".
В пункте 5.1 также была добавлена примечание для уточнения термина "бизнес".
Всего в версии 2022 года 93 контроля, 11 из которых новые, по сравнению с 114 контролями в версии 2013 года. Кроме того, 56 контролов в ISO/IEC 27001:2013 были объединены в 24 контроля в ISO/IEC 27001:2022.
💡 93 контроля теперь разделены на четыре группы:
Организационные (31 контроль, 3 из которых новые и 28 объединены)
Люди (нет новых контролов, 2 объединенных контроля)
Физические (6 контролов, 1 из которых новый и 5 объединенных)
и Технические (28 контролов, 7 из которых новые и 21 объединенных).
Какие изменения в Приложении A?
Приложение A было пересмотрено в соответствии с контролями информационной безопасности в ISO/IEC 27002:2022, что является наиболее существенным изменением в ISO/IEC 27001:2022. Только незначительные редакционные изменения были внесены в пункты 4-10, чтобы привести структуру в соответствие с другими стандартами систем управления.
Для организаций, которые уже сертифицированы по ISO/IEC 27001:2013, может потребоваться умеренные усилия для перехода на новое издание. Эти усилия могут включать в себя пересмотр внутренних политик в соответствии с новыми подпунктами и обновленными требованиями, а также обновление результатов оценки рисков и планов по обработке рисков в соответствии с Приложением A ISO/IEC 27001:2022.
💡 Подробнее об изменениях (для специалистов)
Несколько контролов приложения A были объединены, а 11 добавлены.
Несмотря на то, что никакие контролы не были удалены, в ISO 27001:2022 перечислено только 93 контрола вместо 114 в ISO 27001:2013. Это связано с большим количеством объединенных контролов (56 в 24).
Эти контролы разделены на 4 "темы", а не на 14 пунктов. Они такие:
Люди (8 контролов)
Организационные (37 контролов)
Технологические (34 контроля)
Физические (14 контролов)
💡 Совершенно новые контролы (для специалистов)
Информационная безопасность для использования облачных сервисов
Готовность ИКТ для обеспечения бизнес-непрерывности
Мониторинг физической безопасности
Управление конфигурацией
Удаление информации
Маскирование данных
Предотвращение утечки данных
Мониторинг деятельности
Фильтрация веб-сайтов
Безопасная разработка
💡 В ISO 27002 элементы управления (контролы) имеют пять типов "атрибутов", облегчая их классификацию:
Тип контроля (предотвращающий, выявляющий, корректирующий)
Свойства информационной безопасности (конфиденциальность, целостность, доступность)
Кибербезопасность (идентификация, защита, обнаружение, реагирование, восстановление)
Операционные возможности (управление, управление активами и т. д.)
Области безопасности (управление и экосистемы, защита, защита, устойчивость)
Резюме
Новая версия стандарта ISO/IEC 27001:2022 представляет собой обновленную версию международного стандарта управления информационной безопасностью. В этой версии стандарта содержатся новые требования и рекомендации для эффективного управления информационной безопасностью в организации. Некоторые из нововведений включают улучшенную защиту от угроз и уязвимостей, а также более строгие требования к управлению рисками и управлению доступом.
Цель стандарта ISO 27001:2022 - обеспечить управление информационной безопасностью в организациях любого размера. Стандарт помогает организациям управлять рисками, связанными с информационной безопасностью, и защищать конфиденциальную информацию от утечек. Это включает защиту от несанкционированного доступа к информации, предотвращение взломов, вирусов и других угроз информационной безопасности.
Как и ожидалось, в новой версии стандарта стандарта ISO/IEC 27001: 2022 было пересмотрено Приложение A для соответствия контролям информационной безопасности. Это также, по сути, самое значительное изменение стандарта ISO / IEC 27001: 2022. Изменения в пунктах 4-10 являются незначительными редакционными изменениями для дальнейшей гармонизации структуры стандарта с другими стандартами систем управления. Для перехода на новую версию стандарта могут потребоваться умеренные усилия для тех организаций, которые уже сертифицированы по стандарту ISO/IEC 27001: 2013. Эти дейтствия могут включать пересмотр внутренних политик в соответствии с новыми подразделами и измененными требованиями, а также результаты оценки рисков и план по обработке рисков в соответствии с Приложением A стандарта ISO/IEC 27001: 2022.
Остались вопросы? Напишите нам, воспользовавшись формой контакта или напишите в комментарии ниже.
Хотите получить индивидуальное предложение по новой версии стандарта ISO 27001:2022 напрямую от органа по сертификации?
Comentários