Политика
по переходу ОПС СМ ТОО «Certification Center» систем менеджмента
с СТ РК ISO/IEC 27001-2015 (ISO/IEC 27001:2013) на СТ РК ISO/IEC 27001-2023 (ISO/IEC 27001:2022)
Цель: осуществление перехода органов по подтверждению соответствия систем менеджмента качества и сертифицированных заказчиков с СТ РК ISO/IEC 27001-2015 (ISO/IEC 27001:2013) на СТ РК ISO/IEC 27001-2023 (ISO/IEC 27001:2022).
Политика распространяется на деятельность ОПС СМ ТОО «Certification Center» и Заказчиков.
Международный форум по аккредитации (IAF) и Технический комитет ISO/IEC JTC 1/SC 27 установили трехлетний период перехода с момента публикации ISO/IEC 27001:2022 «Информационная безопасность, кибербезопасность и защита персональных данных. Системы управления информационной безопасностью. Требования». Дата опубликования – октябрь 2022 года.
Сертификаты соответствия систем менеджмента на СТ РК ISO/IEC 27001-2015 (ISO/IEC 27001:2013) будут недействительными по истечении трех лет с даты публикации, т.е. с 31 октября 2025 года.
Дата истечения срока действия сертификатов соответствия на СТ РК ISO/IEC 27001-2015 (ISO/IEC 27001:2013), выданных в течение периода перехода, должна соответствовать окончанию трехлетнего периода перехода (не позднее 31 октября 2025 года).
В соответствии с документом IAF MD 26:2023 оценка перехода на СТ РК ISO/IEC 27001-2015 (ISO/IEC 27001:2013) на СТ РК ISO/IEC 27001-2023 (ISO/IEC 27001:2022) будет осуществляться при плановой инспекционной проверке или внеочередной инспекционной проверке по согласованию с Заказчиком.
В этой связи всем предприятиям, сертифицированным по стандарту СТ РК ISO/IEC 27001-2015 (ISO/IEC 27001:2013) необходимо осуществить переход на новые версии стандартов до 31.10.2025 года и подтвердить свое соответствие.
При положительных результатах проведенных работ, сертификаты будут переутверждены (актуализированы).
Следует отметить, что новая версия стандарта вносит в систему менеджмента информационной безопасностью ряд новых требований, которые необходимо учесть в системах менеджмента организации.
Ключевые особенности ISO/IEC 27001:
1) Приложение A ссылается на средства управления информационной безопасностью в ISO/IEC 27002:2022, который включает в себя информацию о праве собственности и контроле.
2) Примечания к пункту 6.1.3 в) внесены редакционной правкой, включая удаление целей контроля и использование слова «контроль информационной безопасности» вместо слова «контроль».
4) Добавление нового пункта 4.2 в) для определения требований заинтересованных сторон, адресуемых через систему управления информационной безопасностью (СМИБ).
3) Формулировка пункта 6.1.3 d) реорганизована для устранения потенциальной двусмысленности.
5) Добавлен новый подпункт 6.3 - Планирование изменений, определяющий, что изменения СМИБ должны осуществляться организацией в плановом порядке.
6) Сохранение единообразия глагола, используемого в связи с документированной информацией, например, использование «Документированная информация должна быть доступна в качестве доказательства ХХХ» в пунктах 9.1, 9.2.2, 9.3.3 и 10.2.
7) Использование «внешних процессов, продуктов или услуг» для замены «аутсорсинговые процессы» в пункте 8.1 и исключение термина «аутсорсинг».
8) Наименование и изменение порядка подпунктов в разделе 9.2 «Внутренний аудит» и 9.3 «Анализ со стороны руководства».
9) Изменение порядка двух подпунктов в разделе 10 — Улучшение.
10) Обновление издания соответствующих документов, перечисленных в библиографии, таких как ISO/IEC 27002 и ISO 31000.
11) Некоторые отклонения в ISO/IEC 27001:2013 от структуры высокого уровня, идентичный основной текст, общие термины и основные определения стандартов системы менеджмента (MSS) пересматриваются для обеспечения соответствия гармонизированной структуре MSS, например, разделу 6.2 d).
Примечание 1. Первые два пункта взяты из ISO/IEC 27001:2013/DAmd1, третий пункт — из ISO/IEC 27001:2013/COR 2:2015, а остальные изменения являются результатом гармонизированной структуры MSS.
Примечание 2: По сравнению со старой редакцией количество мер информационной безопасности в ISO/IEC 27002:2022 уменьшено со 114 мер в 14 разделах до 93 мер в 4 разделах. Что касается элементов управления в ISO/IEC 27002:2022, 11 элементов управления являются новыми, 24 элемента управления объединены из существующих элементов управления и 58 элементов управления обновлены. Более того, структура контроля пересматривается, в которой для каждого элемента управления вводятся «атрибут» и «цель» и больше не используется «цель» для группы элементов управления.
Примечание 3: ISO/IEC 27001:2013/COR 1:2014 связан с Приложением A и дублируется ISO/IEC 27001:2013/DAMD1.
12) Актуализация заявления о применимости.
Влияние.
Влияние изменений в ISO/IEC 27001:2022 включает, помимо прочего, введение нового Приложения А и раздела 6.3 «Планирование изменений», поскольку:
- ISO/IEC 27001:2013/COR 2:2015 уже опубликован и реализовано.
- Приложение А является нормативным.
- Гармонизированная структура MSS рассматривается как незначительный пересмотр структуры высокого уровня, идентичный основной текст, общие термины и основные определения MSS, при этом большинство изменений считаются редакционными.
Требования ISO/IEC 27001, в которых используются эталонные меры безопасности, установленные в Приложении A, представляют собой процесс сравнения между мерами информационной безопасности, определенными организацией, и мерами, указанными в Приложении A (6.1.3 c)) и составление Заявления о применимости (6.1.3 г)). Сравнивая необходимые меры информационной безопасности с мерами, которые указаны в Приложении А, организация может подтвердить, что любые необходимые меры информационной безопасности из набора ссылок в Приложении А стандарта ISO/IEC 27001:2022 не пропущены случайно.
Такое сравнение может не привести к обнаружению каких-либо необходимых мер информационной безопасности, которые были случайно пропущены. Однако, если обнаруживаются случайно пропущенные необходимые меры информационной безопасности, организация должна обновить свои планы обработки рисков, чтобы включить дополнительные необходимые меры информационной безопасности и внедрить их.
Как подразумевалось выше, влияние ISO/IEC 27001:2022 на организации, внедрившие СМИБ, не должно быть значительным.
Переход на СТ РК ISO/IEC 27001-2023 (ISO/IEC 27001:2022) с СТ РК ISO/IEC 27001-2015 (ISO/IEC 27001:2013) осуществляется в несколько этапов:
Этап 1 – анализ текущей системы информационной безопасностью. Содержание СТ РК ISO/IEC 27001-2023 (ISO/IEC 27001:2022) с СТ РК ISO/IEC 27001-2015 (ISO/IEC 27001:2013) во многом совпадает, поэтому глобальных изменений организация информационной безопасностью на предприятии, не претерпит. В рамках этапа проводится внутренний аудит, призванный выявить, насколько нынешняя система информационной безопасностью отвечает требованиям нового стандарта. Выявленные проблемы документируются. На основе результатов аудита составляется план действий по разработке и внедрению новой СМИБ.
Этап 2 – создание базы для сертификации и работы по СТ РК ISO/IEC 27001-2023 (ISO/IEC 27001:2022). На этой стадии создается документация для системы информационной безопасностью, персонал предприятия знакомится с содержанием стандарта и обучается выполнять свои рабочие обязанности в соответствии с его требованиями. В организации собирается группа внутренних аудиторов, которая подготавливается к выполнению регулярных проверок эффективности СМИБ.
Этап 3 – внедрение системы информационной безопасностью по СТ РК ISO/IEC 27001-2023 (ISO/IEC 27001:2022). Предприятие начинает использовать новую СМИБ, постоянно контролируя ее эффективность.
Этап 4 – аудит внедренной системы информационной безопасностью. СМИБ проходит комплексную проверку на соответствие, по результатам которой составляется и реализуется план корректирующих действий.
Этап 5 – подтверждение соответствия системы менеджмента информационной безопасностью по СТ РК ISO/IEC 27001-2023 (ISO/IEC 27001:2022). Предприятие проходит процедуру сертификации по новому стандарту в установленном порядке.
Ожидаемыми результатами функционирования системы менеджмента СМИБ являются сохранение конфиденциальности, целостности и доступности информации, а также обеспечение предотвращения нарушения конфиденциальности, целостности и доступности информации; соответственно, критически важно для организации исключить или минимизировать риски в области СМИБ за счет принятия результативных предупреждающих мер.
Успех системы менеджмента СМИБ зависит от лидерства, обязательств и участия на всех уровнях и всех функций организации
В связи с переходом на новую версию стандарта с 30 апреля 2024 года будет осуществляться сертификация систем менеджмента только на соответствие СТ РК ISO/IEC 27001-2023 (ISO/IEC 27001:2022).
Директор А. Атаев
Руководитель ОПС СМ Е. Никифорова
01.09.2023г.