Устранение рисков информационной безопасности с целью улучшения результатов деятельности организации требуют значительных усилий и знаний.
Задачей стандарта ISO 27001 (Information security, cybersecurity and privacy protection — Information security management systems — Requirements Информационная безопасность, кибербезопасность и защита конфиденциальности - Системы менеджмента информационной безопасности – Требования) и стандарта ISO/IEC 27002 (Information security, cybersecurity and privacy protection — Information security controls - Информационная безопасность, кибербезопасность и защита конфиденциальности — Мероприятия по управлению информационной безопасностью) является помощью руководству и сотрудникам организаций, которые решили обеспечить надлежащую защиту информации путем создания и поддержания системы менеджмента информационной безопасностью (СМИБ) в своей компании.
Мы решили подготовить серию статей, целью которых является разъяснение каждого раздела стандарта ISO 27001:2022, именно его новой версии, опубликованной в конце 2022 года, а таже мероприятий по управлению, представленных в стандарте ISO 27002, которые необходимо внедрить в организации для обеспечения выполнения требований ISO 27001.
Задачей стандарта ISO 27001 (Information security, cybersecurity and privacy protection — Information security management systems — Requirements Информационная безопасность, кибербезопасность и защита конфиденциальности - Системы менеджмента информационной безопасности – Требования) и стандарта ISO/IEC 27002 (Information security, cybersecurity and privacy protection — Information security controls - Информационная безопасность, кибербезопасность и защита конфиденциальности — Мероприятия по управлению информационной безопасностью) является помощью руководству и сотрудникам организаций, которые решили обеспечить надлежащую защиту информации путем создания и поддержания системы менеджмента информационной безопасностью (СМИБ) в своей компании.
Мы решили подготовить серию статей, целью которых является разъяснение каждого раздела стандарта ISO 27001:2022, именно его новой версии, опубликованной в конце 2022 года, а таже мероприятий по управлению, представленных в стандарте ISO 27002, которые необходимо внедрить в организации для обеспечения выполнения требований ISO 27001.
Сначала об изменениях в новой версии ISO 27001:2022.
Они не многочисленные, но достаточно важные, и, если сжато, то можно их представить следующим образом:
1. Структура новой версии стандарта ISO 27001:2022 теперь соответствует гармонизированной структуре стандартов ISO.
(В мае 2021 года ИСО презентовало новую структуру для стандартов для систем менеджмента: в замен высокоуровневой структуре - HLS (High Level Structure) введена гармонизированная структура – HS (Harmonized Structure).
В связи с этим в стандарте появился новый пункт 6.3 – Требование, внедрять все изменения запланировано. Это требование известно пользователям из других стандартов ИСО. Это требование надо учитывать организациям при переходе на новую версию ISO 27001:2022.
2. Важным изменением является также дополнение в пункте 4.4. -
требование определить необходимые процессы и их взаимодействия в рамках СМИБ, необходимых для ее внедрения и поддержания системы менеджмента. Другими словами, поставлен акцент на ориентацию на процессный подход.
3. В пункте 5.3 добавлено четкое требование о том, чтобы обязанности и полномочия ответственных сотрудников, связанных с информационной безопасностью, были доведены до сведения всех сотрудников внутри организации.
4. Пункт стандарта 7.4 регулирует необходимость внутреннего и внешнего обмена информацией в отношении СМИБ. Можно сказать, что требование немного упрощено. Теперь в дополнение к требованиям относительно коммуникации: «Что?», «Когда?» и «С кем?», теперь добавлено – «Как?».
5. Еще одно значимое изменение представлено в пункте 8.1. В нем также подчеркивается важность ориентации на процессный подход. Новым в данном требовании является то, что теперь необходимо определить критерии процессов и установить контроль процессов в соответствии с этими критериями.
6. Пункты стандарта 9.2 «Внутренний аудит» и 9.3 «Анализ со стороны руководства» также в новой версии адаптированы к Гармонизированной структуре. Пункт 9.2 теперь содержит подпункты 9.2.1 и 9.2.2, а пункт 9.3 делится на три подпункта 9.3.1, 9.3.2 и 9.3.3.
7. Также и в разделе 10 пункты стандарта 10.1 и 10.2 адаптированы с Гармонизированной структурой.
Требования непрерывного улучшения представлены в пункте 10.1 и стоят перед устранением несоответствий и корректирующими мероприятиями, указанными в пункте 10.2. Эта корректировка подчеркивает важность процесса непрерывного улучшения.
1. Структура новой версии стандарта ISO 27001:2022 теперь соответствует гармонизированной структуре стандартов ISO.
(В мае 2021 года ИСО презентовало новую структуру для стандартов для систем менеджмента: в замен высокоуровневой структуре - HLS (High Level Structure) введена гармонизированная структура – HS (Harmonized Structure).
В связи с этим в стандарте появился новый пункт 6.3 – Требование, внедрять все изменения запланировано. Это требование известно пользователям из других стандартов ИСО. Это требование надо учитывать организациям при переходе на новую версию ISO 27001:2022.
2. Важным изменением является также дополнение в пункте 4.4. -
требование определить необходимые процессы и их взаимодействия в рамках СМИБ, необходимых для ее внедрения и поддержания системы менеджмента. Другими словами, поставлен акцент на ориентацию на процессный подход.
3. В пункте 5.3 добавлено четкое требование о том, чтобы обязанности и полномочия ответственных сотрудников, связанных с информационной безопасностью, были доведены до сведения всех сотрудников внутри организации.
4. Пункт стандарта 7.4 регулирует необходимость внутреннего и внешнего обмена информацией в отношении СМИБ. Можно сказать, что требование немного упрощено. Теперь в дополнение к требованиям относительно коммуникации: «Что?», «Когда?» и «С кем?», теперь добавлено – «Как?».
5. Еще одно значимое изменение представлено в пункте 8.1. В нем также подчеркивается важность ориентации на процессный подход. Новым в данном требовании является то, что теперь необходимо определить критерии процессов и установить контроль процессов в соответствии с этими критериями.
6. Пункты стандарта 9.2 «Внутренний аудит» и 9.3 «Анализ со стороны руководства» также в новой версии адаптированы к Гармонизированной структуре. Пункт 9.2 теперь содержит подпункты 9.2.1 и 9.2.2, а пункт 9.3 делится на три подпункта 9.3.1, 9.3.2 и 9.3.3.
7. Также и в разделе 10 пункты стандарта 10.1 и 10.2 адаптированы с Гармонизированной структурой.
Требования непрерывного улучшения представлены в пункте 10.1 и стоят перед устранением несоответствий и корректирующими мероприятиями, указанными в пункте 10.2. Эта корректировка подчеркивает важность процесса непрерывного улучшения.
Уважаемые коллеги!
Приглашаем Вас принять участие в нашем вебинаре по теме:
Новая версия! ISO/IEC 27001:2022 Информационная безопасность, кибербезопасность и защита личных данных. Системы менеджмента информационной безопасности.
ISO/IEC 27002:2022 Мероприятия по управлению.
Разбор новых требований стандартов.
Внутренний аудит системы менеджмента информационной безопасности
Дата вебинара: апрель - май (по набору группы)
Стоимость: 28 000 рублей за участника, без НДС
Стоимость: 28 000 рублей за участника, без НДС
По итогам обучения выдаем сертификат с присвоением квалификации "Внутренний аудит системы менеджмента информационной безопасности"
Заполняйте заявку на нашем сайте или напишите в любом удобном мессенджере!
Заполняйте заявку на нашем сайте или напишите в любом удобном мессенджере!
Самые существенные изменения в ISO 27001:2022 представлены в Приложении А, которое содержит перечень мер управления информационной безопасностью. Про изменения в Приложении подробная информация будет представлена в следующей статье. Следите за новостями!
