Новая версия стандарта ISO/IEC 27001:2022

Новая версия стандарта ISO/IEC 27001:2022
фото: https://pixabay.com/ru/images/search/%d0%b8%d0%bd%d1%84%d0%be%d1%80%d0%bc%d0%b0%d1%86%d0%b8%d0%be%d0%bd%d0%bd%d0%b0%d1%8f%20%d0%b1%d0%b5%d0%b7%d0%be%d0%bf%d0%b0%d1%81%d0%bd%d0%be%d1%81%d1%82%d1%8c/

Новая версия стандарта ISO/IEC 27001:2022

Новая версия стандарта ISO/IEC 27001:2022 была опубликована Международной организацией по стандартизации в октябре 2022 года. Переходный период для сертифицированных организаций назначен до 31 октября 2025 года, а для организаций, проходящих процедуру первоначальной сертификации систем менеджмента информационной безопасности на соответствие требованиям уже новой версии документа сертификации, будут проводиться не позднее 31 октября 2023 года.

В целом стандарт ISO/IEC 27001:2022 заменяет стандарты ISO/IEC 27001:2005, ISO/IEC 27001:2013, ISO/IEC 27001:2013/Cor 1:2014, ISO/IEC 27001:2013/Cor 2:2015.

 

 

Основные изменения коснулись регулирующих мер контроля (если в предыдущей версии было 114 элементов в 14 пунктах, то в новой версии их уже 93 в 14 пунктах), структуры контроля (введены понятия «атрибут» и «цель» для каждого контроля). Также изменения коснулись отдельных примечаний и формулировок. Текст был приведен в соответствие с гармонизированной структурой для стандартов на системы менеджмента и ISO/IEC 27002:2022

Система менеджмента информационной безопасности основывается на трех принципах: обеспечение конфиденциальности, целостности и доступности, которые являются основными целями безопасности.

 

 

Таким образом, положения, приведенные в ISO 27001:2022 позволяют организовать систему менеджмента информационной безопасности таким образом, чтобы снизить уязвимость перед растущей угрозой кибератак, своевременно реагировать на изменяющиеся риски безопасности, убедиться, что такие активы, как финансовая отчетность, интеллектуальная собственность, данные сотрудников и информация, доверенная третьим лицам, остаются неповрежденными, конфиденциальными и доступными по мере необходимости, обеспечить централизованное управление системой для защиты всей информации в одном месте, подготовить людей, процессы и технологии в рамках всей организации к противостоянию технологическим рискам и другим угрозам, защитить информацию во всех её проявлениях, включая бумажные, облачные и цифровые данные, сэкономить средства за счет повышения эффективности и сокращения расходов на неэффективные технологии защиты.

 

В статье использована информация из следующих источников:

  1. https://www.iso.org/ru/standard/27001;
  2. https://rusregister.ru/news/novaya-versiya-iso-27001/;
  3. https://pqm-online.com/assets/files/pubs/translations/std/iso-mek-27001-2022.pdf;
  4. Презентация обучающего семинара «Подготовка менеджеров системы менеджмента информационной безопасности»/Автор: Ким В.В.

    В.В. Ким, к.т.н., руководитель органа по сертификации персонала ОО «КОКИМ»