Чем отличается ISO 27001 2013 от ISO 27001 2005?

| 24.11.2016

В 2013 году организация ИСО, один из ключевых разработчиков международных стандартов, опубликовала ISO 27001 2005 в новой редакции. Этот документ содержит описания лучших мировых практик по поддержанию информационной безопасности компании. Он устанавливает требования к системе менеджмента фирмы, позволяющей сохранять конфиденциальные данные. Чем продиктована необходимость создания более поздней версии сертификата и в чем состоят различия между редакциями?

Почему возникла необходимость обновления?

Согласно данным статистики, в 2013 году по всему миру было получено около 22,29 тысяч сертификатов ISO 27001. Введение усовершенствованной редакции означало дополнительные денежные траты для компаний, связанные с обновлением документов. Однако специалисты ИСО пошли на этот шаг: практика диктовала необходимость устранения дублирования, внесения ясности и структурирования информации в единую форму, удобную пользователям.

Постепенно необходимость обновления стандартов стала очевидной из-за появления вызовов времени:

• возникновения дополнительных угроз информационной безопасности, не учтенных в структуре ISO 27001 2005;
• развития интегрированных систем управления;
• совершенствования теоретических основ стандартизации.

Обновление стандарта сыграло в бизнес-среде ту же роль, что установка старой операционной системы на современном компьютере. Внесенные изменения дали передовым компаниям в руки эффективные инструменты борьбы с усиливающимися кибер-угрозами.

Значительную роль сыграла финансовая составляющая вопроса. По официальным данным, количественные стандарты приносят британским властям не менее 2,5 млрд фунтов стерлингов. Инициированные ИСО изменения значительно увеличили этот доход.

Какие недочеты исправил ISO 27001 2013 по сравнению с версией 2005 года?

Ключевое отличие сертификатов состоит в том, что более поздняя версия исправила недочеты предыдущей. Один из них – избыточность текста.

Стандарт 2005, несмотря на значительную проработанность и структурированность, содержал расплывчатые формулировки. Например, в нем существовало указание на недопустимость проверки аудиторами той работы, которую делали они сами. Последующая версия сделала этот постулат более точным и кратким, указав, что контроль должен отвечать требованиям беспристрастности и объективности.

Второй недостаток, исключенный из новой версии ISO 27001 2013, – возможность сертифицировать систему менеджмента, заявив лишь отдельные, наиболее значимые для фирмы процессы. Формально компания соответствовала стандартам, в реальности – нет. Внесенные изменения отменили такое право, чем устранила бытовавшую двусмысленность.

Модернизированная версия четко прописала, какие действия должно осуществлять руководство для поддержания информационной безопасности в компании. Она поставила перед управленцами и сотрудниками фирмы конкретные задачи, соответствие которым подтверждает сертификат. Этим она устранила недостаток прошлой редакции, состоящий в размытости целей, заставлявших специалистов готовить груды отчетов и бумаг, не содержащих конкретных решений.

ISO 27001 2013: основные изменения

Важнейшие различия между прошлой версией и усовершенствованной редакцией сводятся к следующему:

1. Повышение гибкости. Разработчики учли особенности практики применения стандарта (им пользуются более 22 тысяч организаций) и сделали вывод о необходимости предоставления компании большей свободы в принятии решений и выборе моделей поведения. С учетом этого многие требования документа были переформулированы в целях повышения гибкости.
2. Универсальность. Согласно последней редакции, руководство компании вправе самостоятельно выбирать формы отчетности, требования к входным данным и методы контроля. Оценка рисков и уязвимостей перестала быть обязательным требованием.
3. Удаление раздела «Термины и определения». Наличие этого раздела в каждом отдельном сертификате утратило смысл.
4. Расширение понятия «информационная безопасность». Разница между существовавшей ранее трактовкой заключается в признании дополнительных факторов опасности, выходящих за рамки IT-сферы: потеря данных в социальных сетях, смартфонах и планшетах.
5. Интеграция. Специалисты ИСО сделали сертификат более гибким, благодаря чему его проще интегрировать с другими стандартами для построения единой системы управления.

Усовершенствованная редакция позволила систематизировать опыт, накопленный за восемь лет, и ответить на современные вызовы безопасности.

Какие преимущества дает бизнесу ISO 27001 2013?

Ключевая разница между версиями документа заключается в соответствии вызовам времени, появившимся за восьмилетний период технического прогресса. ISO 27001 2013 позволит бизнесу:

• эффективно распознавать и контролировать возникающие риски, защищая собственную целостность и эффективность;
• наращивать репутацию, демонстрируя клиентам, поставщикам и общественности возможность надежно защищать поступающие в организацию данные;
• повысить свои шансы на победу в тендерах и заключение выгодных контрактов с крупными контрагентами.

Безопасность – это не продукт, а процесс. День за днем появляются угрозы, которым должна соответствовать компания, желающая быть успешной на рынке. Усовершенствования редакция сертификата стала реакцией на появление опасностей, связанных с развитие технического процесса, и систематизацией накопленного опыта и лучших мировых практик.