ISO 27001

ISO 27001:2013. Новая версия международного стандарта

25.09.2013 — Международная организация по стандартизации опубликовала новую версию стандарта ISO/IEC 27001:2013

25 сентября 2013 года опубликована новая версия международного стандарта ISO/IEC 27001:2013.

Официальное наименование:

  • ISO/IEC 27001:2013. Information technology — Security techniques — Information security management systems – Requirements
  • ISO/IEC 27001:2013. Информационные технологии – Методы безопасности – Системы менеджмента информационной безопасности – Требования.

Новая версия стандарта содержит следующие разделы:

1 Область применения
2 Нормативные ссылки
3 Термины и определения
4 Контекст организации

4.1. Осмысление организации и ее контекста
4.2. Осмысление потребностей и ожиданий заинтересованных сторон
4.3. Определение области применения системы менеджмента информационной безопасности
4.4. Система менеджмента информационной безопасности

5 Руководство

5.1. Руководство и обязательства
5.2. Политика
5.3. Роли, ответственности и полномочия в организации

6 Планирование

6.1. Действия по исследованию рисков и возможностей
6.2. Цели в области информационной безопасности и планирование по их достижению

7 Поддержка

7.1. Ресурсы
7.2. Компетентность
7.3. Осведомленность
7.4. Коммуникация
7.5. Документированная информация

8 Функционирование

8.1. Операционное планирование и управление
8.2. Оценка рисков информационной безопасности
8.3. Обработка рисков информационной безопасности

9 Оценка эффективности

9.1. Мониторинг, измерения, анализ и оценка
9.2. Внутренний аудит
9.3. Анализ со стороны руководства

10 Совершенствование

10.1. Несоответствие и корректирующие действия
10.2. Постоянное совершенствование

     Таким образом, структура новой версии стандарта идентична структуре стандартов на системе менеджмента, что в значительной степени способствует интеграции данного стандарта с другими стандартами на системы менеджмента. В настоящем стандарте процесс оценки и обработки рисков информационной безопасности согласуется с принципами и руководящими указаниями, представленными в ISO 31000.

     Председатель рабочей группы, разработавшей и сопровождающей стандарт, Эдвард Хамфрис (Edward Humphries) разъясняет: “Мы внесли ряд улучшений в элементы управления безопасностью, перечисленные в приложении А для того, чтобы стандарт отвечал требованиям времени и современными рискам, таким как хищение персональных данных, угрозы для мобильных устройств и другие сетевые уязвимости.

Комментирование запрещено