Заказать звонок

ISO 27001 2013 и ISO 27001 2005 – Ключевые отличия

Новая редакция ISO 27001 2005 была опубликована Международной организацией по стандартизации в 2013 году. В ней был сконцентрирован самый передовой и успешный опыт обеспечения информационной безопасности. Стандарт регламентирует систему управления на предприятии, направленную на сохранение инсайдерских данных. Почему же потребовалось обновить стандарт, и каковы главные различия между его версиями 2005 и 2013 г.?

Все течет, все меняется…

По данным Международной организации по стандартизации, в 2013 г. было выдано более 22 тыс. сертификатов по стандарту ИСО 27001. Очевидно, что организациям пришлось сделать вложения в обновление сертификата. Тем не менее, затраты их не остановили, поскольку новая редакция помогала нивелировать несоответствия, устранить двусмысленности и выстроить более четкую и удобную информационную структуру.

Необходимость пересмотра действующего стандарта была обусловлена следующими факторами:

  • Появление нового типа рисков для информационной безопасности.
  • Популяризация ИСУП – информационной системы управления проектами.
  • Формирование более совершенной теоретической основы для стандартизации.

Представьте, что вы установили на компьютере более свежую версию ОС. Эффект от обновления стандарта был аналогичен. Современные участники рынка получили эффективное оружие для противостояния киберпреступлениям.

Что нового появилось

Один из минусов версии ИСО 27001 2005 – перегруженность текстом и нечеткие формулировки. Например, в документе говорилось, что аудиторы не должны проверять свою собственную работу. В версии 2013 г. этот пункт сформулирован более лаконично со ссылкой на критерии объективности, которым должен отвечать любой аудит.

Еще один недостаток – возможность пройти сертификацию системы менеджмента, озвучив лишь самые важные для организации процессы. Новая версия документа устранила этот формализм.

В ISO 27001 2013 четко и однозначно прописаны действия руководителей для обеспечения кибербезопасности в организации. Благодаря этому новая версия избавила специалистов от тонны рутинных отчетов и документов, в которых не было никакой конкретики.

Ключевые изменения – резюме

Кратко все различия между двумя версиями стандарта можно свести к следующему:

  • Компания получает больше свободы в принятии решений и организации процессов. Формулировки документа стали более гибкими.
  • Руководство фирмы получило больше самостоятельности в выборе формы отчетности, технологий контроля, искомых данных. Оценка рисков перестала быть обязательной процедурой.
  • Из документа исчез раздел «Термины и определения», т. к. он дублируется в каждом сертификате.
  • Понятие «информационная безопасность» получило более широкую трактовку. В него были включены риски, не относящиеся к юрисдикции ИТ-области: утрата данных из соцсетей и мобильных устройств.
  • Стандарт стало проще интегрировать с другими сертификатами ИСО.

Таким образом, обновленный документ смог систематизировать и структурировать восьмилетний опыт и отреагировать на современные требования.

Что это значит для компаний

Внедрение новой версии сертификата позволит организациям:

  • Своевременно реагировать на возникающие угрозы.
  • Создавать репутацию надежного партнера, который способен защитить хранящуюся в фирме информацию.
  • Получить дополнительные преимущества на тендерах и конкурсах.

В наш век технического прогресса компания, желающая занять твердые позиции на рынке, должна уметь противостоять угрозам. Новый сертификат – это инструмент, который поможет компании соответствовать реалиям времени.

Что это значит для Российских компаний

На момент публикации этой статьи (июль 2019г.), стандарт  ISO 27001 2013 пока что так и не был официально переведен на русский язык. Существуют неофициальные переводы стандарта, но для того чтобы Российские органы могли законно оформлять сертификаты, стандарт должен иметь официальный перевод и должен быть зарегистрирован. Пока что, к сожалению этого так и не произошло, поэтому мы предлагаем пройти сертификацию и оформить последнюю Российскую версию данного стандарта: ГОСТ Р ИСО/МЭК 27001-2006.

Остались вопросы?

Проконсультируйтесь со специалистом
5.11.201912 этапов внедрения ХАССП в организации

С 15.02.2015 г. все организации, задействованные в пищевой отрасли, должны в обязательном порядке внедрить ХАССП (НАССР). Это система стандартов, призванных осуществлять мониторинг качества производимой…...

1.11.2019Программа производственного контроля ХАССП

Производственный контроль – это обязательная процедура, вмененная всем компаниям, независимо от того, каким видом деятельности они занимаются. Это требование зафиксировано в ФЗ-52 «О санитарно-эпидемиологическом…...

1.11.2019Этапы разработки документации системы ХАССП

Первый этап разработки системы ХАССП Разработке системы ХАССП обязательно предшествует комплекс подготовительных мероприятий. Разберемся, что в них входит.   Оценка ресурсов Первый шаг -…...