Какие изменения были внесены в новый стандарт ISO/IEC 27001:2022? Придется ли переворачивать с ног на голову всю систему управления информационной безопасностью?

ISO 27001:2022 официально утвержден 23 сентября 2022 г. Стандарт будет опубликован не позднее ноября 2022 г.
Также стоит упомянуть, что в феврале 2022 г. опубликован стандарт ISO/IEC 27002, который представляет собой «кодекс поведения» для внедрения системы информационной безопасности (ISMS) в соответствии с ISO/IEC 27001.

Что такое ISO/IEC 27001?

ISO/IEC 27001 устанавливает требования к созданию, внедрению, обслуживанию и постоянному совершенствованию системы управления информационной безопасностью в контексте организации. Он также содержит требования к оценке и устранению угроз информационной безопасности с учетом потребностей организации. Требования, изложенные в ISO/IEC 27001, являются общими и должны применяться ко всем организациям, независимо от их типа, размера или характера.
Стандарт ISO/IEC 27001 тесно связан со стандартом ISO/IEC 27001, который содержит практические рекомендации по системе управления информационной безопасностью.

Сертификация ISO/IEC 27001

Как и другие стандарты системы менеджмента ISO, сертификация по ISO/IEC 27001 возможна, но не обязательна. Некоторые организации решают внедрить стандарт, чтобы воспользоваться преимуществами содержащихся в нем передовых практик, в то время как другие также выбирают получение сертификации, чтобы гарантировать клиентам соблюдение его рекомендаций.
Многие организации по всему миру сертифицированы по стандарту ISO/IEC 27001.

Zobacz podobne  Как управлять соответствием? Compliance Management System на основе ISO 37301

См. также:
Внедрение СМИБ и аудит
ISO/IEC 27001 Обучение

Изменения в ISO/IEC 27001

Основные изменения в редакции ISO/IEC 27001 2022 года:
обновление Приложения A со ссылкой на ISO/IEC 27002:2022,
примечания к пункту 6.1.3 c) отредактированы,
реорганизация пункта 6.1.3 d) для устранения возможных двусмысленность;

По сравнению с предыдущей версией стандарта количество средств управления в ISO/IEC 27002:2022 уменьшилось со 114 средств управления, разделенных на 14 разделов, до 93 средств управления в 4 разделах. 24 элемента управления объединены и 58 обновлены.

Обновленный стандарт ISO/IEC 27001 в контексте сертификации систем управления информационной безопасностью требует от организаций:

  • Gap-анализ, а также необходимость внесения изменений в СУИБ клиента,
  • Заявление об использовании (SoA) обновление
  • Обновление плана управления рисками, где это применимо,
  • Внедрение и эффективность новых или пересмотренных профилактических мер.

Стоит отметить, что в новой версии стандарта ISO/IEC 27002 14 категорий были перегруппированы в 4 основные темы, что упрощает их поиск.

4 новые категории включают:
Люди (8 элементов управления) — если они применяются к отдельным лицам, например, удаленная работа, контроль, конфиденциальность или соглашения о конфиденциальности.
Организационные (37 элементов управления) — если они касаются организации, например, информационная политика, возврат активов, информационная безопасность при использовании облачных сервисов.
Технологические (34 элемента управления) — если они относятся к таким технологиям, как безопасная аутентификация, удаление информации, предотвращение утечки данных или сторонняя разработка.
физический(14 элементов управления) – если они относятся к физическим объектам, таким как носители информации, техническое обслуживание оборудования, мониторинг физической безопасности или обеспечение безопасности офисов, помещений и помещений.

Zobacz podobne  Информационная безопасность, кибербезопасность и серия стандартов IEC 62443

Управлять обновлениями

Все элементы управления ISO 27002 были тщательно обновлены. Таким образом, 114 элементов управления были сокращены до 93: 11 новых, 24 связанных и остальные 58 обновленных.

11 новых предметов:

  • Анализ угроз
  • Информационная безопасность при использовании облачных сервисов
  • Готовность ИКТ для обеспечения непрерывности бизнеса
  • Мониторинг физической безопасности
  • Деятельность по мониторингу
  • Веб-фильтрация
  • Безопасное кодирование
  • Управление конфигурацией
  • Удаление информации
  • Маскировка данных
  • Предотвращение утечки данных

Организации могут использовать атрибуты для создания разных представлений, упрощая классификацию элементов, рассматриваемых с разных точек зрения, по 4 темам. Атрибуты можно использовать для фильтрации, сортировки или представления элементов в разных представлениях для разных аудиторий. Обратите внимание, что использование «атрибутов» не является обязательным. В ISO/IEC 27002, Приложение A объясняет, как этого можно достичь, и дает примеры.

Примеры включают:

  • Виды действий – предупреждающие, обнаруженные, корректирующие
  • Свойства информационной безопасности – конфиденциальность, целостность, доступность
  • Концепции кибербезопасности — идентификация, защита, обнаружение, реагирование, восстановление
  • Эксплуатационные возможности — управление, управление активами, защита информации, безопасность человеческих ресурсов, физическая безопасность, безопасность системы и сети, безопасность приложений, безопасная конфигурация, управление идентификацией и доступом, управление угрозами и уязвимостями, непрерывность, безопасность взаимоотношений с поставщиками, соблюдение законов и нормативных требований, информация управление событиями безопасности, обеспечение информационной безопасности
  • Домены безопасности — управление и экосистема, защита, отказоустойчивость
Zobacz podobne  Уязвимости и их раскрытие. Обзор ISO/IEC 29147 и ISO 30111. Часть 2

Организация также может определить свои собственные «атрибуты» с различными значениями для удовлетворения своих конкретных потребностей.

Когда обновлять СМИБ?

Уже в августе 2022 г. Международный форум по аккредитации (IAF) опубликовал документ: ПЕРЕХОДНЫЕ ТРЕБОВАНИЯ ДЛЯ ISO/IEC 27001:2022, в котором указывается, что, начиная с публикации ISO 27001:2022, у организаций есть 36 месяцев для перехода.
К тому времени аккредитованные органы по сертификации должны начать аудит в соответствии с новой версией ISO/IEC 27001.

Исходя из нашего опыта, большинство организаций примут решение о переносе своей реализации до следующего ресертификационного аудита, чтобы соответствовать требованиям нового стандарта ISO/IEC 27001:2022.

Вас интересуют изменения в новом стандарте ISO/IEC 27001?
Хотите внедрить систему управления безопасностью в своей организации? Провести АУДИТ безопасности?
Получить полномочия Уполномоченного, Аудитора СМИБ?
Свяжитесь с нами!

Прокрутить вверх