Недавно был опубликован новый стандарт ISO/IEC 27001:2022. Пока он доступен только на английском языке, но вскоре он будет переведен на другие языки.
Что изменилось в стандарте ISO 27001? Насколько потребуется адаптировать нашу систему управления информационной безопасностью? Изменений немного, но с ними стоит ознакомиться и запломбировать свою систему.
Изменение в разделе 6 и некоторые комментарии оказывают минимальное влияние на стратегии внедрения/эксплуатации и могут быть легко включены в проекты, начиная с публикации нового стандарта ISO/IEC 27001:2022.
Более существенное изменение содержится в Приложении А, которое сопоставлено с элементами управления, указанными в стандарте ISO/IEC 27002, опубликованном ранее в этом году.
Организации, внедряющие ISO 27001, не обязаны внедрять элементы Приложения А. Требование состоит просто в том, чтобы организация выбирала элементы из любого источника, который она считает подходящим. Затем сопоставила эти элементы и предоставила обоснование исключения тех, которые не были реализованы.
Это означает, что организация может пойти дальше и внедрить систему менеджмента, которая может быть сертифицирована по ISO 27001:2013, уже сегодня, зная, что переход на ISO/IEC 27001:2022 потребует минимальных усилий, а крайний срок перехода произойдет только в конец 2024 года.
Этот переход может быть таким же простым, как изменение Заявления о применимости для сопоставления средств управления 2013 года с средствами управления 2022 года, и это сопоставление уже указано в ISO/IEC 27002:2022.
Как внедрить новый ISO 27001? – обновление системы информационной безопасности
Начните подготовку сейчас, чтобы обеспечить плавный переход и свести к минимуму сбои. При переходе рассмотрите следующие ключевые действия:
- Разработать образовательную программу для людей, вовлеченных в эксплуатацию СМИБ
- Изучите 93 элемента управления в ISO 27002:2022
- Определите, какие элементы, реализованные в вашей организации, влияют на СМИБ.
- Подготовить документы для перехода
Выполнить анализ уязвимостей
Хотя между версией 2013 и версией 2022 стандарта ISO 27001 никакие меры безопасности не удалялись, связывание, обновление и введение новых элементов управления повлияют на то, как вы ими управляете в настоящее время. Кстати, у вас есть возможность ознакомиться с реестром рисков и оценками рисков, чтобы определить их пригодность и применение в вашей системе управления информационной безопасностью.
Выполнение анализа разрыва между вашей текущей системой и безопасностью ISO 27002:2022 поможет вам понять, как это повлияет на СМИБ и что необходимо будет скорректировать для соответствия новому стандарту ISO 27001.
Этот анализ пробелов также поможет определить, могут ли и каким образом новые средства контроля помочь управлять рисками.
См. также:
Внедрение СМИБ и аудит
ISO/IEC 27001 Обучение
Учитывать атрибуты (ISO/IEC 27002, приложение A)
С введением атрибутов в стандарт ISO 27002:2022 вы можете использовать процесс проверки для реализации атрибутов. Преимущество атрибутов заключается в том, что вы можете создавать разные представления или классифицировать элементы управления с разных точек зрения или тем.
Например, вы можете просматривать их с точки зрения типов действий (предупредительные, корректирующие действия) или это может быть сделано на основе различных характеристик безопасности (конфиденциальность, целостность, доступность) или на основе различных операционных возможностей (управление, управление идентификацией и доступом). , (законность и совместимость) и т. д.
Оптимизируйте свою Декларацию о применимости
При проведении обзора системы управления информационной безопасностью рассмотрите возможность параллельного создания Заявления о применимости на основе редакции 2022 года, включая переименованные средства контроля, а также комбинированные и новые средства контроля. Это связано с временной шкалой перехода к новой нормальности.
Аудиты, проведенные до аудита перехода, по-прежнему должны будут соответствовать версии 2013 года и, следовательно, должны будут ссылаться на соответствующие требования.
Рассмотрите ресурсы для перехода на новый стандарт ISO 27001:2022.
Хотя требования ISO 27001:2022 не изменились, обновление элементов управления, перечисленных в Приложении A, требует от вашей организации рассмотрения того, как будут внедрены эти обновления.
Обучение: требования нового стандарта ISO/IEC 27001:2022
Обучение внутренних аудиторов СМИБ (СУИБ) необходимо, убедиться, что они понимают, что требуется и как помочь организации устранить уязвимости. Чтобы определить влияние на оценку рисков и безопасность вашей организации, также включите обучение владельцев определенных областей вашей системы информационной безопасности.
Хорошо спланированная программа обучения также поможет в управлении изменениями, давая сотрудникам время и возможность адаптироваться к изменениям.
Вас интересуют изменения в новом стандарте ISO/IEC 27001?
Хотите внедрить систему управления безопасностью в своей организации? Провести АУДИТ безопасности?
Получить полномочия Уполномоченного, Аудитора СМИБ?
Свяжитесь с нами!