22 октября 2014
Переход от ISO/IEC 27001:2005 к ISO/IEC 27001:2013
Современный международный стандарт ISO/IEC 27001:2013 является первой и запоздалой ревизией стандарта ISO/IEC 27001 с момента его выхода в 2005 году. На основе руководящих документов BSI постараемся здесь раскрыть суть изменений и стратегию перехода на новую версию самого востребованного в мире стандарта информационной безопасности.
Основные концептуальные изменения в новой версии ISO/IEC 27001
В новой версии ISO/IEC 27001 была учтена существующая практика применения стандарта (в настоящее время имеется более 17 000 сертифицированных организаций по всему миру). Эта практика выдвинула требование к дальнейшему повышению универсальности и гибкости Стандарта, расширению границ подходов, методик и моделей, которые организации могли бы использовать для реализации его требований. Многие требования были переформулированы, чтобы предоставить организации большую свободу выбора.
Развитие предметной области постоянно предъявляет требования к актуализации, уточнению и совершенствованию описания областей и механизмов контроля, содержащихся в ISO 27002. Поэтому Приложение А к ISO 27001, представляющее собой перечень областей, целей и механизмов контроля, описанных в ISO 27002, существенным образом изменилось, а также перестала быть инструментом для выбора контролей.
Поскольку число стандартов постоянно увеличивается, наличие раздела "Термины и определения" в каждом отдельном стандарте потеряло смысл. Соответствующий раздел был изъят и из ISO/IEC 27001:2013. Все термины теперь собраны в одном стандарте ISO/IEC 27000:2014, а то чего нет в нем, надо смотреть в Оксфордском словаре английского языка.
Кроме этого, на изменения стандарта повлияли еще два существенных фактора: потребность в унификации стандартов на системы менеджмента и приведении этих стандартов в соответствие с положениями ISO 31000 (управление риском).