Биз жөнүндөСтандарттарБлог ✦ ЖИ-баалооБаа алуу →
Башкы бет  /  Блог  /  ISO 27001:2022 өтүү колдонмосу

ISO 27001:2022 өтүү — Мөөнөткө чейин эмне билүү керек

ISO/IEC 27001:2022 үчүн өтүү мезгили акыркы фазасына кирди. 2013-версиясына сертификацияланган уюмдар маалымат коопсуздугун башкаруу тутумдарын жаңыртуу жана сертификацияны сактоо үчүн азыр иш-аракет кылышы керек. Бул колдонмо ар бир критикалык өзгөрүүнү, жаңы А тиркемеси контрол структурасын жана практикалык кадам-кадам өтүү жол картасын камтыйт.

ISO 27001 ISMS Өтүү

 ·  8 мүн окуу

2022-ревизиясы эмне үчүн маанилүү

ISO/IEC 27001:2022 2013-басылмасын 2022-жылдын октябрында алмаштырды. Эл аралык Аккредитациялоо Форуму (IAF) үч жылдык өтүү терезесин белгилеген, бул бардык учурдагы ISO 27001:2013 сертификаттары 2022-версиясына 2025-жылдын 31 октябрына чейин өтүшү керек дегенди билдирет. Ошол датадан кийин дагы эле 2013-стандартка шилтеме жасаган ар кандай сертификат жараксыз деп эсептелет.

Бул кичинекей административдик жаңыртуу эмес. Негизги башкаруу тутумунун бөлүктөрү (4тен 10го чейин) салыштырмалуу жөнөкөй өзгөрүүлөрдү алган болсо да, А тиркемеси толук кайра түзүлдү. Мурунку 14 доменде 114 контрол 4 гана темада 93 контролго бириктирилди. Булуттагы эсептөө, коркунуч маалыматы, маалыматтарды маскировкалоо жана коопсуз иштеп чыгуу жашоо циклдерин чагылдырган 11 толугу менен жаңы контрол киргизилди.

Жаңы А тиркемесинин структурасы: Он төрттүн ордуна төрт тема

Эң байкаларлык өзгөрүү — А тиркемесинин кайра уюштурулушу. 2022-версиясы контролдорду төрт тематикалык топко кайра түзөт:

ТемаКонтролдорСүрөттөмө
A.5 Уюштуруу37Саясаттар, ролдор, жоопкерчиликтер, коркунуч маалыматы, актив башкаруу, кирүү контролу, жеткирүүчү мамилелери, шайкештик.
A.6 Адамдар8Скрининг, эмгек шарттары, маалымдуулук, окутуу, тартиптик процесс, бошондуктан кийинки жоопкерчиликтер.
A.7 Физикалык14Физикалык коопсуздук периметрлери, кирүү контролдору, кеңселерди коргоо, физикалык коопсуздук мониторинги.
A.8 Технологиялык34Колдонуучу түзмөктөрү, артыкчылыктуу кирүү, маалыматка кирүү чектөөсү, коопсуз аутентификация, зыяндуу программадан коргоо, алсыздыктарды башкаруу, конфигурацияны башкаруу, маалыматтарды маскировкалоо, маалымат агып кетүүсүн алдын алуу, мониторинг, веб-фильтрлөө, коопсуз коддоо.

Сиз камтуу керек болгон 11 жаңы контрол

ISO 27001:2022 2013-версиясында түз эквиваленти жок он бир контролду киргизет:

  • A.5.7 — Коркунуч маалыматы: Уюмдар маалымат коопсуздугуна коркунучтар жөнүндө маалыматты чогултуу жана анализдөө керек.
  • A.5.23 — Булут кызматтарын колдонуу үчүн маалымат коопсуздугу: Булут кызматтарын сатып алуу, колдонуу, башкаруу жана чыгуу процесстерин белгилөөнү талап кылган атайын контрол.
  • A.5.30 — Бизнес үзгүлтүксүздүгү үчүн АКТ даярдыгы: АКТ тутумдары бузулууга атайын даярдалышын талап кылат.
  • A.7.4 — Физикалык коопсуздук мониторинги: Жайлар уруксатсыз физикалык кирүүгө каршы үзгүлтүксүз мониторингделиши керек.
  • A.8.9 — Конфигурацияны башкаруу: Жабдыктын, программалык камсыздоонун, кызматтардын жана тармактардын конфигурациялары белгиленип, документтелип, ишке ашырылып, мониторингделип жана каралып турушу керек.
  • A.8.10 — Маалыматты жок кылуу: Тутумдарда, түзмөктөрдө же башка медиада сакталган маалымат мындан ары талап кылынбаганда жок кылынышы керек.
  • A.8.11 — Маалыматтарды маскировкалоо: Маалыматтарды маскировкалоо уюмдун кирүү контролу боюнча темага тиешелүү саясатына ылайык колдонулушу керек.
  • A.8.12 — Маалымат агып кетүүсүн алдын алуу: DLP чаралары сезимтал маалыматты иштеткен, сактаган же берген тутумдарга, тармактарга жана учурдагы түзмөктөргө колдонулушу керек.
  • A.8.16 — Мониторинг аракеттери: Тармактар, тутумдар жана тиркемелер аномалдуу жүрүм-турумга мониторингделиши керек.
  • A.8.23 — Веб-фильтрлөө: Тышкы веб-сайттарга кирүү зыяндуу мазмунга дуушар болууну азайтуу үчүн башкарылышы керек.
  • A.8.28 — Коопсуз коддоо: Коопсуз коддоо принциптери программалык камсыздоону иштеп чыгууга колдонулушу керек.

Өтүү убакыт графиги: Кайда турабыз

2026-жылдын мартындагы абал боюнча, өтүү мөөнөтү аяктаган. Эгер уюмуңуз али өтпөсө, ISO 27001:2013 сертификатыңыз мындан ары жарактуу эмес. 2022-версиясына түз кайра сертификациялоону жүргүзүш керек болот, бул өтүү аудитинен көрө толук 1-этап жана 2-этап аудитин камтыйт.

2025-жылдын октябрь мөөнөтүн өткөрүп жиберген уюмдар дароо сертификациялоо органы менен байланышышы керек. Кээ бир органдар тездетилген кайра сертификациялоо жолдорун сунуштай алат, бирок жеткиликтүүлүк ар түрдүү.

Кадам-кадам өтүү жол картасы

  • 1-кадам: Боштуктарды анализдөө жүргүзүңүз. Учурдагы SoA-ңызды жаңы А тиркемеси контролдору менен салыштырыңыз.
  • 2-кадам: Тобокелдикти баалоону жаңыртыңыз.
  • 3-кадам: Колдонулуу Билдирүүсүн кайра карап чыгыңыз.
  • 4-кадам: Саясаттарды жана процедураларды жаңыртыңыз.
  • 5-кадам: Жаңы контролдорду ишке ашырыңыз.
  • 6-кадам: Башкаруу тутуму документтерин жаңыртыңыз.
  • 7-кадам: Командаңызды окутуңуз.
  • 8-кадам: Ички аудит жүргүзүңүз.
  • 9-кадам: Жетекчиликтин карап чыгуусу.
  • 10-кадам: Сертификациялоо аудити.

BALTUM өтүүңүздү кантип колдойт

BALTUM-дун эл аралык аудиторлор жана консультанттар тармагы стандарт жарыяланган учурдан бери уюмдарды ISO 27001:2022 өтүүсү аркылуу колдоп келет. Биздин кызматтарга төмөнкүлөр кирет:

  • Боштуктарды анализдөө: Учурдагы ISMS-иңиздин 2022-талаптарына каршы структураланган баалоосу.
  • SoA кайра карап чыгууну колдоо: Колдонулуу Билдирүүсүн жаңыртуу боюнча эксперттик жетекчилик.
  • Ички аудиторлорду окутуу: Ички аудит командаңызды 2022-контрол топтомуна каршы аудит жүргүзүүгө жөндөмдүү кылган аккредитацияланган окутуу программалары.
  • Сертификация алдындагы карап чыгуу: Сертификациялоо органыңыз келгенге чейин калган дал келбестиктерди аныктоо жана чечүү үчүн толук даярдык баалоосу.
  • Кайра сертификациялоо колдоосу: Өтүү мөөнөтүн өткөрүп жиберген уюмдар үчүн ISO 27001:2022 боюнча кайра сертификацияга мүмкүн болушунча эффективдүү жетүү үчүн тездетилген программа.

ISO 27001:2022 өтүү жөн гана комплаенс милдеттенмеси эмес — бул заманбап коркунуч ландшафтын чагылдырган контролдор менен коопсуздук позицияңызды бекемдөө мүмкүнчүлүгү.