Популярный стандарт системы менеджмента информационной безопасности (СМИБ) ISO/IEC 27001 сейчас пересматривается (действующая редакция стандарта была опубликована в 2005 году; в нашей стране он был адаптирован как ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» - Н.Х.), и публикация новой редакции намечена на октябрь 2013 года.
K.B.: Каковы основные преимущества новой редакции?
E.H.: Мы привели новую редакцию в актуальное состояние, с учетом опыта пользователей, которые получили или стремились получить сертификацию по ISO/IEC 27001:2005. Идея заключается в использовании более гибкого и рационального подхода, что должно привести к более эффективному управлению рисками.
Мы также внесли ряд улучшений в меры безопасности, перечисленные в приложении А, для того, чтобы стандарт шёл в ногу со временем и был в состоянии справляться с сегодняшними рисками, такими, как «кража личности», как риски, связанные с мобильными устройствами и прочими онлайн-уязвимостями.
Наконец, новая редакция ISO/IEC 27001 была модифицирована с тем, чтобы соответствовать новой типовой высокоуровневой структуре (кроме того, утвержден достаточно большой объём типовых текстов, включая терминологию – Н.Х.), используемой теперь во всех стандартах систем менеджмента, что упрощает интеграцию СМИБ с другими системами менеджмента.
K.B.: В чем преимущества модификации новой редакции ISO/IEC 27001 в соответствии с новой типовой высокоуровневой структурой стандартов системы менеджмента?
E.H.: Приведение ISO/IEC 27001 в соответствие с типовой структурой поможет организациям, желающим внедрить одновременно несколько систем менеджмента. Сходство структур этих стандартов сэкономит организациям деньги и времени, поскольку они смогут ввести у себя интегрированную политику и процедуры.
Например, организация может захотеть интегрировать свою систему менеджмента информационной безопасности (ISO/IEC 27001) с другими системами менеджмента, такими, как менеджмент непрерывности деловой деятельности (ISO/IEC 22301), менеджмент оказания ИТ-услуг (ISO/IEC 20000-1), или менеджмента качества (ISO 9001).
K.B.: Каков будет следующий шаг в процессе пересмотра?
E.H.: Новая редакция стандарта, являющаяся пересмотром редакции 2005 года, сейчас находится на стадии «окончательного проекта международного стандарта» (Final Draft International Standard, FDIS). Эта стадия будет завершена в начале сентября, после чего будет выполнена необходимая предпечатная подготовка перед намеченной на октябрь 2013 года официальной публикацией. С этого момента новую редакцию стандарта ISO/IEC 27001 можно будет купить, а редакция 2005 года будет отменена.
K.B.: Если моя организация сертифицирована по ISO 27001:2005, то что будет означать для неё выход новой редакции стандарта?
E.H.: Организациям, сертифицированным по стандарту в редакции 2005 года, нужно будет модернизировать свои СМИБ, чтобы соответствовать требованиям новой редакции стандарта. Пока ещё не принято решение о длительности переходного периода, отводимого на подобную модернизацию, но это, вероятно, будут два года с момента публикации новой редакции.
K.B.: Много ли усилий потребуется для перехода со старой редакции на новую?
E.H.: Обновление до новой редакции ISO/IEC 27001 не должно оказаться особенно проблематичным. Здесь поможет и переходный период, так как он даёт возможность сделать необходимые для перехода усилия частью поэтапной программы работ и интегрировать их в деятельность по постоянному улучшению и в плановые надзорные аудиты.
Беседу вела Кэти Бёрд (Katie Bird)
Источник: сайт ИСО
http://www.iso.org/iso/home/news_index/news_archive/news.htm?refid=Ref1767
Комментариев нет:
Отправить комментарий