ЧАСТЬ 1. СЕРТИФИКАТ ISO 27001. ОТВЕЧАЕМ НА ВОПРОСЫ БИЗНЕСА В КАЗАХСТАНЕ. В ЧЕМ РАЗЛИЧИЯ МЕЖДУ СТАРОЙ И НОВОЙ ВЕРСИЕЙ?

Новая версия стандарта ISO 27001:2022, опубликованная 25 октября 2022 года, представляет собой умеренное обновление международного стандарта по управлению информационной безопасностью ISO 27001. Новая версия стандарта включает ряд различных изменений и нововведений, которые помогут организациям еще более улучшить управление информационной безопасностью, а также создадут на несколько лет особые возможности в мире бизнеса.

В этой статье мы рассмотрим ваши наиболее часто задаваемые вопросы по различиям новой версии стандарта ISO 27001:2022 от предыдущей. Также мы подсветим практические преимущества сертификации для бизнеса по новой версии стандарта в 2023 году, что поможет вам уверенно улучшить свою информационную безопасность и создать конкурентное преимущество в вашей отрасли.

Повлияют ли изменения в ISO/IEC 27001:2022 на наш текущий сертификат ISO 27001?

Отличные новости! Новые изменения в ISO/IEC 27001:2022 не повлияют на ваш текущий сертификат ISO/IEC 27001:2013. Однако, если вы заинтересованы в сертификации по обновленному стандарту, пожалуйста, заполните форму ниже, чтобы получить индивидуальное ценовое предложение напрямую от одного из наших партнеров.

Кроме того, если вы заинтересованы в более глубоком обучении по деталям перехода на новую версию ISO/IEC 27001:2022, у наших партнеров уже появились в доступе специально разработанные тренинги и программы обучения. Вы также можете заказать такое обучение для своих сотрудников. Пожалуйста, оставьте короткое сообщение в форме контактов, и мы предоставим вам самые актуальные доступные курсы в личном сообщении.

В чем разница между сертификатами ISO/IEC 27001 и ISO/IEC 27002 для фирмы из Алматы, Казахстан?

Вы слышали, что оба сертификата по стандартам ISO/IEC 27001 и ISO 27002 относятся к ИТ-безопасности и системам управления информационной безопасностью? Хотя они могут показаться довольно похожими, на самом деле они существенно различаются.

Сертификат ISO/IEC 27001 - это стандарт системы управления информационной безопасностью, который предоставляет список требований соответствия, по которым организации и профессионалы могут быть сертифицированы. Это касается как бизнеса в Казахстане, так и в любой из 100+ стран мира, признающими сертиикаты по стандартам ISO 27001:2022. Он помогает организациям создавать, внедрять, поддерживать и улучшать систему управления информационной безопасностью (СУИБ).

Этот стандарт существует с начала 90-х годов, изначально под названием ISO/IEC 17799. В 2005 году стандарт был пересмотрен и опубликован под новым названием ISO/IEC 27001. Чтобы не отставать от развития технологий и был более актуальным для последних угроз безопасности, ISO/IEC 27001 был пересмотрен в 2013 году, и была опубликована новая версия. В 2019 году стандарт был снова пересмотрен, но та же версия осталась действующей, по крайней мене пока.

Еще один стандарт, который входит в семейство стандартов ИБ ISO/IEC 27000 и тесно связан с ISO/IEC 27001, - это ISO/IEC 27002. Этот стандарт используется для настройки систем управления информационной безопасностью на конкретный контекст организаций, предоставляя руководство по выбору и внедрению соответствующих контролей информационной безопасности, перечисленных в Приложении А ISO/IEC 27001. Кроме того, ISO/IEC 27002 предлагает гораздо более подробную и тщательную информацию об этих контролях.

Стоит отметить, что сертификат ISO/IEC 27002 - это стандарт, содержащий руководство, а не требования для организации в Казахстане. Организации не могут быть сертифицированы по нему, однако специалисты как раз могут быть сертифицированы.

Когда крайний срок перехода на новую версию ISO 27001:2022?

Версия 2022 года стандарта ISO/IEC 27001, устанавливающего требования для бизнеса, как в Казахстане, Узбекистане или любых других странах мира, признающих аккредитациюIAF/IAS для сертификатов ISO, к системе управления информационной безопасностью (СУИБ), была выпущена 25 октября 2022 года. Аккредитованные органы сертификации получат 12-месячный переходной период, начиная с последнего дня месяца выпуска ISO/IEC 27001:2022 (т.е. 31 октября 2023 года), чтобы перейти на новую версию. Самим же организациям, с другой стороны, будет предоставлено 36 месяцев, начиная с последнего дня месяца выпуска стандарта (т.е. до 31 октября 2025 года), чтобы перейти на новую версию.

Мы планируем участвовать в тендере. По какой версии стандарта лучше получить сертификат ISO 27001?

Если вы ведете бизнес в сфере ИТ, телекоммуникаций, облачного хранения данных, работаете с конфиденциальной информацией и участвуете в тендерах или планируете заключать новые сделки с крупными компаниями из Европейского Союза, Великобритании, Канады, США или развитыми странами Юго-Восточной Азии и Ближнего Востока, включая Сингапур, Малайзия, Южная Корея, Индонезия, Австралия, ОАЭ, то вам следует уже сейчас обратить особое внимание на сертификацию по новой версии стандарта ISO 27001:2022.

Дело в том, что пройдя еще в 2023 году или 2024 году сертификационных аудит по новой версии стандарта ISO/IEC 27001:2022, вы можете опередить не только большинство конкурентов, а отрасль в целом не менее чем на 1 - 2 года. Получив международный сертификат ISO 27001:2022, вы можете искусно воспользоваться преимуществом ситуации, оставив позади многие компании, которые перейдут на новую версию ISO/IEC 27001:2022 до конца октября 2025 года.

Обязательно ли нанимать консультанта или можем справиться сами?

Да, технически - можете. Практически - это не рациональное решенеи. Разница как между самостоятельным удалением зуба и визитом к стоматологу. Сами потратите 6 - 12 мес. и сделаете с ошибками. С консультантом - от 2 до 4 месяцев и рабочая версия и прохождение аудита с первого раза. ✨ См. статью: Как выбрать консультанта по сертификации

Как часто нужно проходить аудиты после получения сертификата?

Надзорный аудит следует за основным сертификационным чреез 12 мес. Делать его нужно раз в год (обычно 1-2 дня). Ресертификация - один раз в 3 года (полный аудит), но по стоимости на 25 - 30% дешевле. . Это не страшно и не дорого. Годовой аудит стоит $1,500-2,500.

Совместим ли ISO 27001 с другими стандартами вроде ISO 9001?

Да! Более того, они отлично дополняют друг друга и интегрированное внедрение и сам аудит, как правило, обходятся дешевле примерно на 20 - 35% и короче по времени.

✨См. также пост "Как сэкономить на сертификации ISO с умом?"

Какие частые ошибки при внедрении ISO 27001 можно избежать?

ТОП-3 ошибки:

1. Первое - это делать "для галочки" чисто под сертификат: создавать пакет бумаг и документов, которые никто не использует в работе и не читает. Это одноразовый подход, который не приносит ощутимых прорывов в развитии бизнеса и завоевании доверия серьезных партнеров, будь то в ОАЭ, Малайзии, Сингапуре или Европе.

2. Не обучать персонал - сотрудники не понимают, зачем всё это

Начните сегодня свой путь к сертификации ISO 27001 с qmpetence: прямые цены органа в Алматы, Астане и Ташкенте, сроки от 15 - 30 дней по цене от $2400 за аудит и базовый пакет внедрения от $2480. Пройдите gap-анализ, поймите, где вы сейчас и что нужно сделать. Это займет неделю и покажет четкую картину.

Остались вопросы? Напишите нам — ответим в течение 2 часов. Работаем с казахстанскими компаниями с 1998 года, 400+ аудитов.