Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная БЛОГИ Александр Астахов Финальные проекты (FDIS) ISO/IEC 27001:2013 и ISO/IEC 27002:2013. Что изменилось?
Protectiva Compliance Manager
Навигация
 

Финальные проекты (FDIS) ISO/IEC 27001:2013 и ISO/IEC 27002:2013. Что изменилось?

Автор: Александр Астахов опубликовано: 06-08-2013 последнее изменение: 20-11-2013

Согласно сообщению BSI, в апреле 2013 года произошло очередное заседание Комитета по разработке ISO/IEC 27001. Во время заседания Комитет изучил обратную связь от национальных органов по сертификации. Стандарты ISO/IEC 27001 и 27002 подверглись ревизии согласно установленной процедуре – от начального проекта (CD) до финального проекта международного стандарта (FDIS). Обновленные стандарты планируются к публикации в ноябре 2013 года.

BSI создали веб-страницу, на которой размещаются последние новости о ревизии стандарта ISO /IEC 27001 здесь. Доступ к бесплатному вебинару по проекту международного стандарта DIS ISO/ISO 27001 здесь.

Основные изменения, внесенные в ISO 27001, состоят в следующем:

  • Структура ISO 27001 переработана и унифицирована с прочими стандартами на системы менеджмента
  • Вся терминология из ISO 27001 перенесена в ISO 27000, который определяет общий терминологический аппарат для всего семейства стандартов ISO 27х.
  • Создание СУИБ теперь начинается с определения общего контекста организации: ее внутренних и внешних проблем, требований заинтересованных сторон, политики безопасности и области действия СУИБ.
  • Роль высшего руководства организации в создании СУИБ теперь определяется в разделе под названием Лидерство. Это лидерство должно быть активным и демонстративным, явно определять роли и ответственность за обеспечение ИБ в организации, выделять ресурсы, контролировать конечный результат и т.д.
  • Как и ожидалось, стандарт теперь не делает различия между политикой ИБ и политикой СУИБ. Осталась только политика ИБ. Требования к ее содержанию не изменились.
  • Требования к оценке рисков стали менее конкретными с целью унификации с ISO 31000, требования к SOA не изменились.
  • Добавлен раздел Планирование, включающей определение целей, принципов и стратегий ИБ.
  • Как и ожидалось, убрали нелепое и вводящее в заблуждение различие между документами и записями. Теперь речь в стандарте идет просто о документации (документированной информации).
  • Названия каких-либо документов в стандарте больше не используются. Акцент делается не на названиях, а на содержании документов, разрабатываемых в организации.
  • Появились отдельные разделы Поддержка и Эксплуатация СУИБ. Эксплуатация включает в себя управление документами, событиями, изменениями и контроль процессов аутсорсинга.
  • Сформулированы новые более конкретные требования к измерению эффективности СУИБ и механизмов контроля.
  • Как и ожидалось, из стандарта убрали вводящее в заблуждение различие между корректирующими и превентивными мерами. Теперь есть несоответствия и для них есть корректирующие меры.
  • Добавлены новые области контроля: Криптография, Взаимодействие с поставщиками. "Безопасность коммуникаций" и "Безопасность операций" разделены.
  • Добавлены новые механизмы контроля: ИБ в управлении проектами, Ограничения на установку ПО, политика безопасности при разработке ПО, принципы безопасности в системном инжиниринге, безопасная среда разработки, тестирование безопасности, политика безопасности при взаимодействии с поставщиками и др.
Для тех организации, которым надо будет подтверждать свою сертификацию на соответствие новой версии ISO 27001 во время очередных промежуточных аудитов или ресертификаций, BSI выпустит специальное руководство по переходу на новую версию стандарта.
 

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2021 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex