Отличия iso 27001:2022 от 27001:2015

2024-08-28 20:18
bga68comp: (Default)
[personal profile] bga68comp

ISO/IEC 27001:2022 отличается от ISO/IEC 27001:2015 несколькими важными изменениями и улучшениями.
Ключевые различия

  1. Обновление Приложения A (контроли):
    • Основное изменение касается Приложения A, где перечень контролей был пересмотрен и актуализирован.
    • В новой версии количество контролей сократилось с 114 до 93. Они теперь распределены по 4 категориям вместо 14: организационные меры, меры для защиты людей, меры по защите технологической инфраструктуры, меры по управлению физической средой.
    • Были добавлены новые контроли, такие как "управление угрозами" и "управление конфиденциальностью данных".
  2. Фокус на адаптивность и устойчивость:
    • В новой версии больший акцент сделан на управлении рисками и устойчивостью информационной безопасности, что включает управление инцидентами и возможность адаптации к новым угрозам и изменениям.
  3. Более гибкий подход к документации:
    • ISO/IEC 27001:2022 делает упор на необходимость вести документацию, но при этом оставляет организациям больше свободы в выборе того, как именно она будет вестись.
  4. Обновления терминологии и структуры:
    • Введены обновления в терминологию, чтобы обеспечить большую ясность и соответствие современным требованиям к информационной безопасности.
    • Некоторые разделы стандарта были пересмотрены и переформатированы, чтобы улучшить их понимание и применение на практике.
  5. Процесс сертификации:
    • Переход с ISO/IEC 27001:2015 на ISO/IEC 27001:2022 требует пересмотра системы управления информационной безопасностью (СУИБ) организации, чтобы она соответствовала новым требованиям.

Эти изменения отражают текущие вызовы в области информационной безопасности и адаптируют стандарт к современным условиям и требованиям.

В стандарте ISO/IEC 27001:2022 контроли в Приложении A разделены на 4 категории, каждая из которых охватывает разные аспекты управления информационной безопасностью.

Приложении A. Подробное описание категорий

1. Организационные меры (Organizational controls)

Эта категория включает контроли, связанные с управлением и организацией процессов информационной безопасности внутри компании. Они направлены на обеспечение правильного подхода к управлению информационной безопасностью и включают такие аспекты, как:
  • Управление политиками безопасности: разработка, внедрение и поддержка политик информационной безопасности.
  • Роли и обязанности: определение ролей и ответственности сотрудников в области информационной безопасности.
  • Управление рисками: идентификация, оценка и управление рисками, связанными с информационной безопасностью.
  • Управление ресурсами: эффективное распределение и использование ресурсов для обеспечения информационной безопасности.

2. Меры для защиты людей (People controls)

Эта категория включает контроли, направленные на защиту людей, работающих с информационными активами, и обеспечение их осведомленности и готовности к соблюдению правил безопасности. Основные контроли включают:
  • Обучение и осведомленность: программы обучения сотрудников основам информационной безопасности.
  • Проверка на благонадежность: проверка новых сотрудников на благонадежность перед началом работы с критичными информационными активами.
  • Управление инцидентами с персоналом: реагирование на инциденты, связанные с человеческими факторами, такими как внутренние угрозы.

3. Меры по защите технологической инфраструктуры (Technological controls)

Эта категория охватывает контроли, связанные с техническими аспектами защиты информационных активов, включая защиту систем, сетей и данных. Включает такие меры, как:
  • Управление доступом: контроль доступа к системам и данным для предотвращения несанкционированного использования.
  • Шифрование данных: использование шифрования для защиты конфиденциальной информации.
  • Управление уязвимостями: выявление, оценка и устранение уязвимостей в системах и приложениях.
  • Управление безопасностью сетей: защита сетевой инфраструктуры от угроз, таких как атаки DDoS или вредоносное ПО.

4. Меры по управлению физической средой (Physical controls)

Эта категория включает контроли, направленные на защиту физических активов и среды, в которой обрабатываются информационные активы. Включает следующие аспекты:
  • Физическая безопасность объектов: контроль доступа к помещениям, где хранятся или обрабатываются критические информационные активы.
  • Охрана и контроль за помещениями: использование систем видеонаблюдения, сигнализации и других мер для защиты объектов.
  • Защита от стихийных бедствий: меры для защиты объектов от природных угроз, таких как пожары, наводнения и землетрясения.
  • Управление физическими носителями: контроль за хранением, перемещением и уничтожением физических носителей информации (например, бумажных документов или жестких дисков).

Эти категории помогают структурировать подходы к информационной безопасности, учитывая не только технические аспекты, но и организационные, человеческие и физические факторы.

Обновления терминологии в стандарте ISO/IEC 27001:2022 направлены на улучшение ясности, соответствие современным тенденциям в области информационной безопасности и более точное отражение концепций и процессов.

Информация о ключевых изменениях в терминологии

1. Изменение терминов и определений

Некоторые термины были пересмотрены для улучшения их понимания и согласования с другими международными стандартами. Примеры:
  • "Цель управления" (Control objective) была заменена на "Управленческую цель" (Management objective), чтобы подчеркнуть связь с управленческими процессами и целями организации, а не только с мерами безопасности.
  • Термин "Риск" (Risk) стал более широко применяться с учетом различных контекстов, охватывающих не только информационные, но и бизнес-риски.

2. Введение новых понятий

Новые понятия и термины введены для отражения современных подходов к управлению информационной безопасностью:
  • "Устойчивость" (Resilience): термин подчеркивает способность организации поддерживать свою деятельность на должном уровне, несмотря на потенциальные инциденты или атаки.
  • "Управление угрозами" (Threat management): введен для описания процессов идентификации и противодействия новым и развивающимся угрозам, включая кибератаки и внутренние угрозы.
  • "Конфиденциальность данных" (Data privacy): термин стал важным в контексте защиты персональных данных и выполнения требований законодательств, таких как GDPR.

3. Уточнение и расширение значений существующих терминов

Некоторые существующие термины были уточнены и дополнены, чтобы лучше отражать их значение в текущих условиях:
  • "Инцидент безопасности" (Security incident): расширено значение термина, включив в него более широкий спектр возможных инцидентов, таких как утечка данных, компрометация конфиденциальности, сбой работы систем.
  • "Управление активами" (Asset management): уточнен, чтобы подчеркнуть важность не только технических активов, но и данных, знаний и других нематериальных активов.

4. Согласование с другими стандартами

Терминология ISO/IEC 27001:2022 согласована с другими стандартами серии ISO и международными нормативными актами:
  • Согласование с ISO 31000 (Управление рисками): термины, связанные с рисками, были пересмотрены, чтобы соответствовать подходам и определениям, приведенным в стандарте ISO 31000.
  • Интеграция с GDPR и другими законами о защите данных: термины, касающиеся конфиденциальности и защиты данных, приведены в соответствие с требованиями международных и региональных законодательств, таких как GDPR.

5. Обновление иерархии и структуры терминов

В новой версии стандарта также пересмотрена структура и иерархия терминов для лучшего понимания взаимосвязей между ними. Например, категории и подкатегории контролей были реорганизованы, чтобы сделать их более логичными и удобными для внедрения в различных организациях.

Эти обновления терминологии помогают лучше адаптировать стандарт к современным вызовам в области информационной безопасности, делая его более понятным и удобным для применения на практике.



Tags:
  • Add Memory
  • Share This Entry
This account has disabled anonymous posting.
If you don't have an account you can create one now.
HTML doesn't work in the subject.
More info about formatting
 
Notice: This account is set to log the IP addresses of everyone who comments.
Links will be displayed as unclickable URLs to help prevent spam.

Profile

bga68comp: (Default)
bga68comp

December 2025

S M T W T F S
  12 3 456
7891011 1213
14151617181920
21222324252627
28293031   

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated 2026-01-06 13:00
Powered by Dreamwidth Studios