Новая версия ISO/IEC 27001:

победа над рисками в ИТ

Популярный стандарт ISO/IEC 27001 на систему менеджмента информационной безопасности в настоящее время пересматривается. Новая редакция планируется к публикации в октябре 2013 г.

Председатель рабочей группы, ответственной за разработку и сопровождение стандарта ISO/IEC 27001, Эдвард Хампфрис пояснил, что новая редакция актуализована с учетом опыта пользователей, уже внедривших стандарт или получивших сертификат на соответствие требованиям ISO/IEC 27001:2005. Основная цель — обеспечить более гибкий, оптимизированный подход, который обеспечил бы более эффективное управление рисками. При этом включен ряд изменений в показатели безопасности, перечисленные в приложении А, чтобы обеспечить актуальность стандарта и применимость его к современным рискам, а именно хищению личных данных, угрозам, связанным с использованием мобильных устройств, и другим сетевым уязвимостям. Кроме того, стандарт ISO/IEC 27001 был модифицирован с целью адаптации к новой общей структуре, применяемой во всех стандартах на системы менеджмента, что упрощает его интеграцию с другими системами менеджмента.

Гармонизация ISO/IEC 27001 к новой структуре построения стандартов поможет организациям, желающим внедрить более одной системы менеджмента одновременно, сэкономить время и деньги, так как компании смогут реализовывать интегрированные политики и процедуры. Так, организации может потребоваться интегрировать свою систему информационной безопасности (ISO/IEC 27001) с другими системами менеджмента, такими как системы менеджмента непрерывности бизнеса (ISO/IEC 22301), системы менеджмента ИТ-услуг (ISO/IEC 20000-1) или системы менеджмента качества (ISO 9001).

Процесс пересмотра редакции 2005 г. завершен в начале сентября. Теперь идет этап редактирования для запланированной публикации в октябре. Тогда новая редакция стандарта ISO/IEC 27001 станет доступной для приобретения, а редакция 2005 г. — отменена.

Организациям, сертифицированным на соответствие редакции ISO 27001:2005, потребуется обновить свои системы менеджмента информационной безопасности, с тем чтобы обеспечить соответствие требованиям новой редакции стандарта. Переходный период для обновления еще не установлен, но, скорее всего, это будет два года с момента публикации новой редакции.

По мнению разработчиков, переход на новую редакцию стандарта ISO/IEC 27001 не должен быть особенно проблематичным. Переходный период будет полезен, так как он подразумевает то, что усилия станут частью поэтапной программы и интегрированы с мероприятиями по непрерывному улучшению и плановыми надзорными аудитами.

www.iso.org