Як перейти на новий стандарт ISO 27001:2022

Щойно опубліковано новий стандарт ISO/IEC 27001:2022. Наразі він доступний лише англійською мовою, але незабаром буде перекладено на інші мови.
Що змінилося в стандарті ISO 27001? Скільки нам знадобиться для адаптації нашої системи управління інформаційною безпекою? Змін небагато, але варто з ними ознайомитись і запечатати свою систему.

Зміни в розділі 6 і деякі коментарі мають мінімальний вплив на стратегії впровадження/операції та можуть бути легко включені в проекти, починаючи з публікації нового ISO/IEC 27001:2022.

Більш суттєва зміна в Додатку А, який відповідає засобам керування, визначеним у ISO/IEC 27002, опублікованому на початку цього року.

Організації, які впроваджують ISO 27001, не зобов’язані впроваджувати елементи Додатку А. Вимога полягає просто в тому, щоб організація вибирала елементи з будь-якого джерела, яке вона вважає доречним. Потім він відобразив ці елементи та надав обґрунтування для пропуску тих, які не були реалізовані.

Що це означає з точки зору впровадження?
Це означає, що організація може йти вперед і впроваджувати систему менеджменту, яку можна сертифікувати за ISO 27001:2013 вже сьогодні, знаючи, що перехід на ISO/IEC 27001:2022 вимагатиме лише мінімальних зусиль – і кінцевий термін переходу відбудеться лише в кінець 2024 року.
Цей перехід може бути таким же простим, як зміна Заяви про застосовність для зіставлення елементів керування 2013 року з елементами керування 2022 року – і це відображення вже визначено в ISO/IEC 27002:2022.

Zobacz podobne Імпорт товарів до країн Євросоюзу - вимоги безпеки та знак CE

Як запровадити новий стандарт ISO 27001? – оновлення системи захисту інформації

Почніть готуватися зараз, щоб забезпечити плавний перехід і мінімізувати збої. Під час переходу зверніть увагу на такі ключові дії:

Розробити освітню програму для людей, які беруть участь в експлуатації СУІБ
Ознайомтеся з 93 елементами керування в ISO 27002:2022
Визначте, які елементи, реалізовані у вашій організації, впливають на СУІБ
Підготуйте документацію для переходу

Виконайте аналіз вразливості

Хоча між версією 2013 та версією 2022 ISO 27001 жодних заходів безпеки не було видалено, зв’язування, оновлення та впровадження нових елементів керування вплинуть на те, як ви зараз ними керуєте. До речі, ви маєте можливість переглянути реєстр ризиків та оцінки ризиків, щоб визначити їх придатність та застосування у вашій системі управління інформаційною безпекою.

Zobacz podobne Яку вигоду дає маркування CE?

Виконання аналізу розбіжностей між вашою поточною системою та безпекою ISO 27002:2022 допоможе вам зрозуміти, як це вплине на СУІБ і що потрібно буде скоригувати, щоб відповідати новому стандарту ISO 27001.

Цей аналіз прогалин також допоможе визначити, чи можуть і як нові засоби контролю допоможуть керувати ризиками.

Дивіться також: Навчання
з впровадження та аудиту СУІБ
ISO/IEC 27001

Розгляньте атрибути (ISO/IEC 27002 Додаток A)

З появою атрибутів у стандарті ISO 27002:2022 ви можете використовувати процес перевірки для впровадження атрибутів. Перевага атрибутів полягає в тому, що ви можете створювати різні подання або класифікувати елементи керування з різних точок зору або тем.

Наприклад, ви можете переглядати їх з точки зору типів дій (профілактичні, коригувальні дії) або це можна робити на основі різних характеристик безпеки (конфіденційність, цілісність, доступність) або на основі різних операційних можливостей (керування, керування ідентифікацією та доступом) тощо.

Оптимізуйте свою декларацію про придатність

Проводячи перевірку системи управління інформаційною безпекою, розгляньте можливість створення Заяви про застосовність паралельно на основі перегляду 2022 року, включаючи перейменовані елементи керування, а також комбіновані та нові засоби керування. Це пов’язано з часовою шкалою переходу до нової норми.
Аудити, проведені до перехідного аудиту, все ще повинні відповідати версії 2013 року, а отже, повинні мати посилання на відповідні вимоги.

Zobacz podobne Як отримати сертифікат ISO 9001:2015?

Розгляньте ресурси для переходу на новий стандарт ISO 27001:2022

Хоча вимоги ISO 27001:2022 не змінилися, оновлення елементів керування, перелічених у Додатку А, вимагає від вашої організації розглянути, як вони будуть впроваджувати ці оновлення.

Навчання: вимоги нового стандарту ISO/IEC 27001:2022

Внутрішнє навчання аудиторів СУІБ (ISMS) необхідне, щоб переконатися, що вони розуміють, що потрібно та як допомогти організації захистити вразливості. Щоб визначити вплив на оцінку ризиків і безпеку вашої організації, також включіть навчання для власників певних областей вашої системи інформаційної безпеки.
Добре спланована програма навчання також допоможе керувати змінами, даючи працівникам час і можливість адаптуватися до змін.

Вас цікавлять зміни в новому стандарті ISO/IEC 27001?
Бажаєте запровадити систему управління безпекою у своїй організації? Провести АУДИТ безпеки?
Отримати повноваження уповноваженого, аудитора СУІБ?
Зв’яжіться з нами!