ISO/IEC 27001:2022

ISO/IEC 27001:2022

ISO/IEC 27001:2022 определяет подход к оценке рисков, выбору контролей и подтверждению результативности системы информационной безопасности.

Для кого подходит

• IT-компании и сервисные провайдеры
• Организации, обрабатывающие чувствительные данные
• Компании с контрактными и регуляторными требованиями по ИБ

Ключевые требования

• Методика оценки и обработки информационных рисков
• Statement of Applicability и набор применимых контролей
• Процедуры инцидентов, доступа, резервирования и непрерывности

Практический фокус стандарта

ISO/IEC 27001:2022 требует, чтобы обработка рисков и контроли реально работали в операционной среде. Руководство должно подтверждать связь ИБ с устойчивостью и непрерывностью бизнеса.

Этапы внедрения

1. Определение границ ISMS и критичных активов
2. Внедрение политик, контролей и подтверждающих записей
3. Внутренний аудит и анализ руководства

Этапы аудита и сертификации

1. Стартовая техническая оценка области, целей и применимых требований.
2. Подготовка документации и проверка фактического внедрения в процессах.
3. Внутренний аудит и закрытие корректирующих действий на основе доказательств.
4. Внешний аудит (этап 1/2), последующий надзор и регулярное поддержание системы.

Преимущества для бизнеса

• Снижение вероятности и последствий инцидентов ИБ
• Укрепление доверия клиентов и партнеров
• Лучшая готовность к проверкам и due diligence

Типичный срок внедрения: 10-16 недель.

Типовые документы и подтверждающие записи

• Методика оценки рисков, план обработки и Statement of Applicability.
• Записи по доступам, уязвимостям, резервному копированию и инцидентам.
• Результаты тестов непрерывности, реагирования и контроля поставщиков.

Типичные пробелы перед внешним аудитом

• Оценка рисков не связана с фактическими потоками данных и архитектурой.
• Неопределенная ответственность подразделений за выполнение контролей.
• Слабое управление рисками третьих сторон.

Частые вопросы