ISO/IEC 27001:2022
Информационная безопасность, кибербезопасность и защита конфиденциальности. Системы управления информационной безопасностью. Требования.

Стандартный №: ISO/IEC 27001:2022
Дата публикации: 2022
Разместил: International Organization for Standardization (ISO)
состояние: быть заменен
быть заменен: ISO/IEC 27001:2022/Amd 1:2024
Последняя версия: ISO/IEC 27001:2022/Amd 1:2024

сфера применения

Развитие стандарта и основные изменения

Сравнительные параметры	Издание 2013 г.	Издание 2022 г.
Структура управления	14 областей управления, 114 показателей	4 основные темы, 93 показателя
Управление рисками	Независимый процесс оценки рисков	Интеграция методологии ISO 31000
Требования к безопасности облака	Неявно Упоминается	Добавлено 5.24 Управление, специфичное для облачных сервисов

Руководство по внедрению ключевых элементов

4.1 Анализ организационной среды

Определите внутренние факторы (структура управления, техническая архитектура) и внешние факторы (нормативные требования, отношения в цепочке поставок), влияющие на СМИБ. Рекомендуется использовать шаблон SWOT-анализа, а реестр ключевых факторов следует обновлять ежеквартально.

6.1.3 Процесс управления рисками

Выбор подхода к управлению (избегать/передавать/смягчать/принимать)
Проверка полноты мер контроля в соответствии с Приложением A
Подготовка заявления о применимости (SoA)

Вариант внедрения контроля

8.16 Мониторинг активности

Финансовое учреждение внедрило систему SIEM для достижения:
- Анализа базового поведения пользователей
- Оповещения в режиме реального времени для ключевых операций
- Периода хранения журналов ≥ 6 месяцев

Этап	Ключевые мероприятия	Оценка времени
Анализ пробелов	Сравнение текущих мер контроля с Приложением А	2-4 недели
Подготовка документов	Разработка плана обработки рисков/операционных процедур	4-8 недель
Внутренний аудит	Проведение комплексного аудита, требуемого пунктом 9.2	2-3 недели

ISO/IEC 27001:2022 История

2024 ISO/IEC 27001:2022/Amd 1:2024 Информационная безопасность, кибербезопасность и защита конфиденциальности. Системы управления информационной безопасностью. Требования. Поправка 1. Изменения в действиях по изменению климата.
2022 ISO/IEC 27001:2022 Информационная безопасность, кибербезопасность и защита конфиденциальности. Системы управления информационной безопасностью. Требования.
2015 ISO/IEC 27001:2013/Cor 2:2015 Информационные технологии. Технология безопасности. Управление информационной безопасностью. Требования техническое исправление 2
2014 ISO/IEC 27001:2013/Cor 1:2014 Информационные технологии. Технология безопасности. Управление информационной безопасностью. Требования техническое исправление 1
2013 ISO/IEC 27001:2013 Информационные технологии.Техники обеспечения безопасности.Системы управления информационной безопасностью.Требования.
2005 ISO/IEC 27001:2005 Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования.

Информационная безопасность, кибербезопасность и защита конфиденциальности. Системы управления информационной безопасностью. Требования.

стандарты и спецификации

ISO/IEC 27001:2022Информационная безопасность, кибербезопасность и защита конфиденциальности. Системы управления информационной безопасностью. Требования.