ISO/IEC 27001:2013 и ISO/IEC 27002:2013: основные отличия от предыдущей версии и преимущества для бизнеса
27.10.2013
В сентябре 2013 года популярные стандарты ISO/IEC 27001 и ISO/IEC 27002 опубликованы в новой редакции. Какие изменения внесены и что даст бизнесу внедрение СМИБ по обновленным стандартам?
Первый стандарт, являвшийся руководством по управлению информационной безопасностью, был разработан Британским институтом стандартов (BSI) ещё в 1995 году. Появление в 1998 году второй части BS 7799, определявшей модель построения СМИБ, стимулировало активное развитие сертификации в сфере управления безопасностью и информационными рисками.
Современные международные стандарты в сфере IT-безопасности ушли далеко вперед от своих прародителей. Однако технологический прогресс требует их постоянного усовершенствования. Именно поэтому ISO/IEC 27001 (Требования) и ISO/IEC 27002 (Свод практик) входят в число одних из наиболее быстро развивающихся стандартов в мире.
Ревизия ISO/IEC 27001/ ISO/IEC 27002 версии 2005 года обусловлена необходимостью дать бизнесу надежные инструменты защиты от всё более усложняющихся и усиливающихся кибер-угроз.
ISO/IEC 27001:2013: ключевые изменения
- Проведена модификация структуры стандарта с учетом структуры, использующейся в других стандартах систем менеджмента, что значительно упростит его интеграцию при построении общей системы управления.
- Пересмотрено и расширено понятие информационной безопасности. Включены элементы, позволяющие учитывать факторы, выходящие за рамки IT-тематики (человеческий фактор – защита конфиденциальных данных в социальных сетях, планшетах, смартфонах и пр.).
- Определена взаимосвязь со стандартами ISO 22301 (менеджмент непрерывности бизнеса) и ISO 31000 (менеджмент рисков).
- Учтены изменения в IT-сфере, обусловленные технологическим прогрессом, за восьмилетний период (2005г. – 2013 г.).
ISO/IEC 27001:2013: преимущества для бизнеса
Внедрение стандарта позволит:
- защитить бизнес, за счет возможности эффективно идентифицировать и контролировать риски;
- повысить репутацию, продемонстрировав клиентам, партнерам и иным контрагентам способность обеспечить надежную защиту поступающих от них данных;
- перейти в категорию предпочтительных поставщиков и получить высокие шансы победы в тендерах.
ISO/IEC 27002:2013: ключевые изменения
- Исключены элементы дублирования со стандартом ISO/IEC 27001.
- Указания упрощены и пересмотрены в соответствии с существующими/новыми потребностями в сфере информационной безопасности.
ISO/IEC 27002:2013: преимущества для бизнеса
Внедрение стандарта позволит:
- возможность разработать и внедрить собственную СМИБ, оптимально отвечающую специфике конкретной организации, а, следовательно, и максимально эффективную;
- задействовать набор мер контроля IT-безопасности, позволяющих противостоять возможным новым кибер-угрозам.
Для организаций и предприятий, уже прошедших сертификацию ISO/IEC 27001:2005, готовится специальное руководство, содержащее указания по переходу версию стандарта 2013 года.
______________________
Разработка и внедрение систем менеджмента.
Интегрированные системы менеджмента.