Сертификация систем менеджмента ISO 9001, ISO 14001, ISO 45001, ISO 27001
Качество – правило. Цена – исключение!
Главная \ Новости и статьи \ Что изменилось в ISO/IEC 27001:2022 по сравнению с редакцией 2013 года?

Новости и статьи

« Назад

Что изменилось в ISO/IEC 27001:2022 по сравнению с редакцией 2013 года? 22.09.2023 07:52

ISO 27001 – ведущий мировой стандарт информационной безопасности, который включает в себя требования для создания системы менеджмента информационной безопасности (СМИБ). В конце 2022 года Международная организация по стандартизации опубликовала новую версию стандарта ISO/IEC 27001:2022. Основная часть изменений заключается в том, что пункты приложения А были сгруппированы иначе, либо переименованы. Также добавились и новые элементы.

Основные изменения в ISO/IEC 27001:2022:

  • Умеренно изменились меры безопасности Приложения А;
  • Количество органов управления уменьшилось со 114 до 93;
  • Элементы управления размещены в 4 секциях вместо прежних 14;
  • Добавлено 11 новых элементов управления, но ни один элемент не был удален, многие объединены;

Основные изменения в ISO/IEC 27001:2022:

Изменения в пунктах 4-10

Основные изменения затрагивают планирование и определения критериев процесса, а также мониторинга.

Пункт 4.2. Понимание потребностей и ожиданий заинтересованных сторон: Появился новый подпункт, требующий анализа требований заинтересованных сторон, которые будут удовлетворяться посредством СМИБ.

Пункт 4.4. Система управления информационной безопасностью: Добавлена новая формулировка, требующая, чтобы СМИБ включала в себя процессы, лежащие в основе СМИБ. То есть не только те, что указаны в стандарте.  

Пункт 6.2. Цели информационной безопасности и планирование их достижения: Включает дополнительные рекомендации по целям информационной безопасности. Это дает больше ясности в отношении того, как цели должны контролироваться и документироваться.

Пункт 6.3. Планирование изменений: Этот пункт добавлен для того, чтобы установить стандарт планирования изменений. То есть если в СМИБ потребуются изменения, они должны быть правильно спланированы. 

Пункт 8.1. Оперативное планирование и контроль: Появилось дополнительное руководство по оперативному планированию и контролю.  

Дополнительные незначительные изменения в этих пунктах включают в себя: 

Пункт 5.3. Организационные роли, обязанности и полномочия: Информация о ролях, имеющих отношение к информационной безопасности, должна сообщаться внутри организации. 

Пункт 7.4. Коммуникация: Подпункты D и E были упрощены и объединены.  

Пункт 9.2. Внутренний аудит: Он объединил то, что уже существовало между пунктами 9.2.1 и 9.2.2, в один раздел.  

Пункт 9.3. Анализ со стороны руководства: Добавлен новый пункт, поясняющий, что анализ со стороны руководства организации должен включать рассмотрение любых изменений в потребностях и ожиданиях заинтересованных сторон.

Пункт 10 Улучшение. Здесь произошли только структурные изменения: постоянное улучшение (10.1) перечисляют первым, а несоответствие и корректирующие действия (10.2) – вторым.

Изменения в структуре управления Приложения А 

В ISO 27001:2022 помимо прочего внесены структурные изменения в элементы управления Приложения А..

  • 11 новых элементов управления
  • 57 элементов управления объединены 
  • 23 элемента управления переименованы
  • 3 элемента управления удалены

В новом обновлении элементы управления размещены в четырех темах:

  • Управление людьми (8 элементов)
  • Организационные средства контроля (37 элементов)
  • Технологический контроль (34 элемента)
  • Физические элементы управления (14 элементов)

Новые средства контроля в Приложении A

A.5.7 Аналитика угроз. Этот элемент управления требует от организаций сбора и анализа информации об угрозах, чтобы они могли принять меры для снижения риска.

A.5.23 Информационная безопасность для использования облачных служб. Элемент подчеркивает необходимость повышения информационной безопасности в облаке и требует установления стандартов безопасности для облачных служб и наличия процессов и процедур специально для облачных служб.  

A.5.30 Готовность ИКТ к непрерывности бизнеса. Этот элемент требует обеспечения возможности восстановления/использования информационных и коммуникационных технологий в случае сбоев.  

A.7.4 Мониторинг физической безопасности. Здесь говорится о том, что организации должны контролировать чувствительные физические области (центры обработки данных, производственные объекты и т. д.), чтобы обеспечить доступ к ним только авторизованных людей, чтобы организация была осведомлена в случае нарушения.  

A.8.9 Управление конфигурацией. Этот элемент о том, чтобы организация управляла конфигурацией своей технологии, чтобы обеспечить ее безопасность и избежать несанкционированных изменений.  

A.8.10 Удаление информации. Здесь требуется удаления данных, когда они больше не требуются, чтобы избежать утечки конфиденциальной информации и соблюдать требования конфиденциальности.  

A.8.11 Маскирование данных. Этот элемент управления требует, чтобы организации использовали маскирование данных в соответствии с политикой управления доступом организации для защиты конфиденциальной информации.  

A.8.12 Предотвращение утечки данных. Элемент требует от организаций реализации мер по предотвращению утечки данных и раскрытия конфиденциальной информации из систем, сетей и других устройств. 

A.8.16 Мониторинг действий. Здесь говорится о мониторинге систем на предмет необычных действий и внедрения соответствующих процедур реагирования на инциденты.  

A.8.23 Веб-фильтрация. Этот элемент управления требует, чтобы организации управляли доступом пользователей к веб-сайтам для защиты IT-систем.  

A.8.28 Безопасное кодирование. Этот элемент о том, что принципы безопасного кодирования должны быть установлены в рамках процесса разработки программного обеспечения организации, чтобы уменьшить уязвимости безопасности.  

Что делать с ISO/IEC 27001:2013?

Подводя итоги, можно сказать, что изменения в основной части стандарта небольшие и могут быть воспроизведены достаточно быстро. Изменения в Приложении А – умеренные, и их, в целом, можно устранить, добавив новые средства управления в уже существующую документацию.

Сертификация по ISO 27001:2013 всё ещё разрешена до 30 апреля 2024 года. Однако, любая компания, сертифицированная в настоящее время по стандарту, должна будет перейти на новую версию до 31 октября 2025 года.
Контакты
г. Нур-Султан
Написать нам
новости Казахстан