Біз туралыСтандарттарБлог ✦ ЖИ бағалауБаға алу →
Басты бет  /  Блог  /  ISO 27001:2022 көшу нұсқаулығы

ISO 27001:2022 көшу — мерзімге дейін не білу керек

ISO/IEC 27001:2022-ге көшу кезеңі соңғы кезеңіне кірді. 2013 нұсқасы бойынша сертификатталған ұйымдар ақпараттық қауіпсіздікті басқару жүйелерін жаңарту және сертификатты сақтау үшін қазір әрекет етуі тиіс. Бұл нұсқаулық барлық маңызды өзгерістерді, жаңа А қосымшасы бақылау құрылымын және практикалық қадамдық көшу жол картасын қамтиды.

ISO 27001 ISMS КӨШУ

 ·  8 мин оқу

2022 қайта қарауы неліктен маңызды

ISO/IEC 27001:2022 2013 басылымын 2022 жылдың қазанында ауыстырды. Халықаралық аккредиттеу форумы (IAF) үш жылдық көшу терезесін белгіледі, яғни барлық ISO 27001:2013 сертификаттары 2025 жылдың 31 қазанына дейін 2022 нұсқасына көшірілуі тиіс. Осы күннен кейін 2013 стандартына сілтеме жасайтын кез келген сертификат жарамсыз деп саналады.

Бұл кішігірім әкімшілік жаңарту емес. Негізгі басқару жүйесі тарауларына (4-тен 10-ға дейін) салыстырмалы түрде қарапайым өзгерістер енгізілгенімен, А қосымшасы толық қайта құрылымдалуға ұшырады. Алдыңғы 14 домендегі 114 бақылау тек төрт тақырып бойынша 93 бақылауға біріктірілді. Бұлтты есептеу, қауіп барлауы, деректерді маскалау және қауіпсіз әзірлеу өмірлік циклдарын көрсететін 11 толық жаңа бақылау енгізілді.

Жаңа А қосымшасы құрылымы: он төрттің орнына төрт тақырып

Ең көрнекі өзгеріс — А қосымшасының қайта ұйымдастырылуы. 2013 нұсқасында 114 бақылауды қамтитын 14 бақылау санаты (A.5-тен A.18-ге дейін) болды. 2022 нұсқасы оларды төрт тақырыптық топқа қайта құрылымдайды:

ТақырыпБақылауларСипаттама
A.5 Ұйымдық37Саясаттар, рөлдер, жауапкершіліктер, қауіп барлауы, актив басқару, қол жеткізуді бақылау, жеткізуші қарым-қатынастары, сәйкестік және жобаларды басқарудағы ақпараттық қауіпсіздік.
A.6 Адамдар8Тексеру, жұмыс шарттары, хабардарлық, оқыту, тәртіптік процесс, жұмыстан кейінгі жауапкершіліктер, құпиялылық келісімдері және қашықтан жұмыс.
A.7 Физикалық14Физикалық қауіпсіздік периметрлері, кіру бақылаулары, кеңселерді қорғау, физикалық қауіпсіздік мониторингі, экологиялық қауіптерден қорғау, таза үстел/таза экран.
A.8 Технологиялық34Соңғы нүкте құрылғылары, артықшылықты қол жеткізу, қауіпсіз аутентификация, сыйымдылықты басқару, зиянды бағдарламадан қорғау, осалдықтарды басқару, конфигурация басқару, деректерді маскалау, DLP, мониторинг, веб-сүзгілеу және қауіпсіз кодтау.

Қарастыру қажет 11 жаңа бақылау

ISO 27001:2022 2013 нұсқасында тікелей баламасы болмаған он бір бақылауды енгізеді:

  • A.5.7 — Қауіп барлау: Ұйымдар ақпараттық қауіпсіздікке қауіп-қатерлер туралы ақпаратты жинауы және талдауы тиіс.
  • A.5.23 — Бұлтты қызметтерді пайдалану үшін ақпараттық қауіпсіздік: Бұлтты қызметтерді сатып алу, пайдалану, басқару және шығу процестерін белгілеуді талап ететін арнайы бақылау.
  • A.5.30 — Бизнес үздіксіздігі үшін АКТ дайындығы: АКТ жүйелерінің бұзылуға нақты дайындалуын талап етеді.
  • A.7.4 — Физикалық қауіпсіздік мониторингі: Рұқсатсыз физикалық қол жеткізу үшін үй-жайларды үздіксіз мониторингтеу.
  • A.8.9 — Конфигурация басқару: Аппараттық құралдар, бағдарламалық жасақтама, қызметтер және желілер конфигурацияларын құжаттау, іске асыру, мониторингтеу және шолу.
  • A.8.10 — Ақпаратты жою: Енді қажет болмаған кезде ақпаратты жою.
  • A.8.11 — Деректерді маскалау: Қол жеткізуді бақылау саясатына сәйкес деректерді маскалау.
  • A.8.12 — Деректер ағып кетуін болдырмау: Сезімтал ақпаратты өңдейтін жүйелерге, желілерге және соңғы нүктелерге DLP шараларын қолдану.
  • A.8.16 — Мониторинг әрекеттері: Аномалды мінез-құлықты анықтау үшін желілерді, жүйелерді және қосымшаларды мониторингтеу.
  • A.8.23 — Веб-сүзгілеу: Зиянды мазмұнға әсер етуді азайту үшін сыртқы веб-сайттарға қол жеткізуді басқару.
  • A.8.28 — Қауіпсіз кодтау: Бағдарламалық жасақтаманы әзірлеуге қауіпсіз кодтау принциптерін қолдану.

Қадамдық көшу жол картасы

Көшу немесе нөлден қайта сертификаттау кезінде келесі қадамдар құрылымдық тәсілді ұсынады:

1-қадам: Олқылықтарды талдау жүргізіңіз. Ағымдағы SoA-ңызды жаңа А қосымшасы бақылауларымен салыстырыңыз.

2-қадам: Тәуекелді бағалауыңызды жаңартыңыз. Тәуекелді өңдеу жоспарындағы бақылаулар жиынтығын ISO 27002:2022 А қосымшасын көрсететіндей жаңартыңыз.

3-қадам: Қолданылу мәлімдемеңізді қайта қараңыз. SoA 2022 нұсқасының 93 бақылауына сілтеме жасауы тиіс.

4-қадам: Саясаттар мен процедураларды жаңартыңыз. Жаңа бақылаулар жиынтығына сәйкестігі үшін барлық саясаттарды шолыңыз.

5-қадам: Жаңа бақылауларды іске асырыңыз. 11 жаңа бақылаудың әрқайсысы үшін іске асыру тәсілін анықтаңыз.

6-қадам: Басқару жүйесі құжаттамасын жаңартыңыз. Жаңа 6.3-тарау талабын, 9.1-тарау мониторинг талаптарын және 9.3-тарау басшылық шолу кірістерін қарастырыңыз.

7-қадам: Тобыңызды оқытыңыз. ISMS жауапкершіліктері бар барлық қызметкерлер өзгерістерді түсінуі тиіс.

8-қадам: Ішкі аудит жүргізіңіз. 2022 талаптарына қарсы толық ішкі аудит орындаңыз.

9-қадам: Басшылық шолу. 9.3-тарау бойынша жаңартылған кірістерді қарастыратын басшылық шолу өткізіңіз.

10-қадам: Сертификаттау аудиті. Көшу аудитін жоспарлау үшін сертификаттау органыңызбен байланысыңыз.

2025 жылдың қазан мерзімін өткізіп алған ұйымдар сертификаттау органымен дереу байланысуы тиіс. Кейбір органдар жеделдетілген қайта сертификаттау жолдарын ұсына алады, бірақ қолжетімділік әр түрлі.

BALTUM көшуіңізді қалай қолдайды

BALTUM-ның халықаралық аудиторлар мен кеңесшілер желісі стандарт жарияланғаннан бері ұйымдарды ISO 27001:2022-ге көшу арқылы қолдап келеді. Біздің қызметтерімізге олқылықтарды талдау, SoA қайта қарауды қолдау, ішкі аудитор оқыту, сертификаттау алдындағы шолу және қайта сертификаттауды қолдау кіреді.

ISO 27001:2022-ге көшу тек комплаенс міндеттемесі емес — ол заманауи қауіп ландшафтын көрсететін бақылаулармен қауіпсіздік позицияңызды нығайту мүмкіндігі. Көшуіңізді аяқтап жатсаңыз да, нөлден бастасаңыз да, неғұрлым тез әрекет етсеңіз, процесс соғұрлым тегіс болады.