вторник, 20 августа 2013 г.

ИСО: Новая версия стандарта ISO/IEC 27001 позволит лучше справляться с угрозами информационной безопасности


Заметка руководителя отдела ИСО по стратегиям в области коммуникаций и контента Кэти Бёрд (Katie Bird – на фото) была опубликована на сайте Международной организации по стандартизации (ИСО) 14 августаt 2013 года.

Популярный стандарт системы менеджмента информационной безопасности (СМИБ) ISO/IEC 27001 сейчас пересматривается (действующая редакция стандарта была опубликована в 2005 году; в нашей стране он был адаптирован как ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» - Н.Х.), и публикация новой редакции намечена на октябрь 2013 года.

Мы побеседовали с Эдвардом Хамфрисом (Edward Humphreys – на фото справа), руководителем рабочей группы JTC 1/SC27/WG1, ответственным за развитие и поддержание ISO/IEC 27001, чтобы узнать, как этот пересмотр повлияет на Вас, типичных пользователей.

K.B.: Каковы основные преимущества новой редакции?


E.H.: Мы привели новую редакцию в актуальное состояние, с учетом опыта пользователей, которые получили или стремились получить сертификацию по ISO/IEC 27001:2005. Идея заключается в использовании более гибкого и рационального подхода, что должно привести к более эффективному управлению рисками.

Мы также внесли ряд улучшений в меры безопасности, перечисленные в приложении А, для того, чтобы стандарт шёл в ногу со временем и был в состоянии справляться с сегодняшними рисками, такими, как «кража личности», как риски, связанные с мобильными устройствами и прочими онлайн-уязвимостями.

Наконец, новая редакция ISO/IEC 27001 была модифицирована с тем, чтобы соответствовать новой типовой высокоуровневой структуре (кроме того, утвержден достаточно большой объём типовых текстов, включая терминологию – Н.Х.), используемой теперь во всех стандартах систем менеджмента, что упрощает интеграцию СМИБ с другими системами менеджмента.

K.B.: В чем преимущества модификации новой редакции ISO/IEC 27001 в соответствии с новой типовой высокоуровневой структурой стандартов системы менеджмента?

E.H.: Приведение ISO/IEC 27001 в соответствие с типовой структурой поможет организациям, желающим внедрить одновременно несколько систем менеджмента. Сходство структур этих стандартов сэкономит организациям деньги и времени, поскольку они смогут ввести у себя интегрированную политику и процедуры.

Например, организация может захотеть интегрировать свою систему менеджмента информационной безопасности (ISO/IEC 27001) с другими системами менеджмента, такими, как менеджмент непрерывности деловой деятельности (ISO/IEC 22301), менеджмент оказания ИТ-услуг (ISO/IEC 20000-1), или менеджмента качества (ISO 9001).

K.B.: Каков будет следующий шаг в процессе пересмотра?

E.H.: Новая редакция стандарта, являющаяся пересмотром редакции 2005 года, сейчас находится на стадии «окончательного проекта международного стандарта» (Final Draft International Standard, FDIS). Эта стадия будет завершена в начале сентября, после чего будет выполнена необходимая предпечатная подготовка перед намеченной на октябрь 2013 года официальной публикацией. С этого момента новую редакцию стандарта ISO/IEC 27001 можно будет купить, а редакция 2005 года будет отменена.

K.B.:  Если моя организация сертифицирована по ISO 27001:2005, то что будет означать для неё выход новой редакции стандарта?

E.H.: Организациям, сертифицированным по стандарту в редакции 2005 года, нужно будет модернизировать свои СМИБ, чтобы соответствовать требованиям новой редакции стандарта. Пока ещё не принято решение о длительности переходного периода, отводимого на подобную модернизацию, но это, вероятно, будут два года с момента публикации новой редакции.

K.B.: Много ли  усилий потребуется для перехода со старой редакции на новую?

E.H.: Обновление до новой редакции ISO/IEC 27001 не должно оказаться особенно проблематичным. Здесь поможет и переходный период, так как он даёт возможность сделать необходимые для перехода усилия частью поэтапной программы работ и интегрировать их в деятельность по постоянному улучшению и в плановые надзорные аудиты.

Беседу вела Кэти Бёрд (Katie Bird)

Источник: сайт ИСО
http://www.iso.org/iso/home/news_index/news_archive/news.htm?refid=Ref1767

Комментариев нет:

Отправка комментария