Нажимая на кнопку "Позвоните мне!" я даю свое согласие на обработку персональных данных и принимаю условия соглашения
В 2013 году организация ИСО, один из ключевых разработчиков международных стандартов, опубликовала ISO 27001 2005 в новой редакции. Этот документ содержит описания лучших мировых практик по поддержанию информационной безопасности компании. Он устанавливает требования к системе менеджмента фирмы, позволяющей сохранять конфиденциальные данные. Чем продиктована необходимость создания более поздней версии сертификата и в чем состоят различия между редакциями?
Согласно данным статистики, в 2013 году по всему миру было получено около 22,29 тысяч сертификатов ISO 27001. Введение усовершенствованной редакции означало дополнительные денежные траты для компаний, связанные с обновлением документов. Однако специалисты ИСО пошли на этот шаг: практика диктовала необходимость устранения дублирования, внесения ясности и структурирования информации в единую форму, удобную пользователям.
Постепенно необходимость обновления стандартов стала очевидной из-за появления вызовов времени:
Обновление стандарта сыграло в бизнес-среде ту же роль, что установка старой операционной системы на современном компьютере. Внесенные изменения дали передовым компаниям в руки эффективные инструменты борьбы с усиливающимися кибер-угрозами.
Значительную роль сыграла финансовая составляющая вопроса. По официальным данным, количественные стандарты приносят британским властям не менее 2,5 млрд фунтов стерлингов. Инициированные ИСО изменения значительно увеличили этот доход.
Ключевое отличие сертификатов состоит в том, что более поздняя версия исправила недочеты предыдущей. Один из них – избыточность текста.
Стандарт 2005, несмотря на значительную проработанность и структурированность, содержал расплывчатые формулировки. Например, в нем существовало указание на недопустимость проверки аудиторами той работы, которую делали они сами. Последующая версия сделала этот постулат более точным и кратким, указав, что контроль должен отвечать требованиям беспристрастности и объективности.
Второй недостаток, исключенный из новой версии ISO 27001 2013, – возможность сертифицировать систему менеджмента, заявив лишь отдельные, наиболее значимые для фирмы процессы. Формально компания соответствовала стандартам, в реальности – нет. Внесенные изменения отменили такое право, чем устранила бытовавшую двусмысленность.
Модернизированная версия четко прописала, какие действия должно осуществлять руководство для поддержания информационной безопасности в компании. Она поставила перед управленцами и сотрудниками фирмы конкретные задачи, соответствие которым подтверждает сертификат. Этим она устранила недостаток прошлой редакции, состоящий в размытости целей, заставлявших специалистов готовить груды отчетов и бумаг, не содержащих конкретных решений.
Важнейшие различия между прошлой версией и усовершенствованной редакцией сводятся к следующему:
Усовершенствованная редакция позволила систематизировать опыт, накопленный за восемь лет, и ответить на современные вызовы безопасности.
Ключевая разница между версиями документа заключается в соответствии вызовам времени, появившимся за восьмилетний период технического прогресса. ISO 27001 2013 позволит бизнесу:
Безопасность – это не продукт, а процесс. День за днем появляются угрозы, которым должна соответствовать компания, желающая быть успешной на рынке. Усовершенствования редакция сертификата стала реакцией на появление опасностей, связанных с развитие технического процесса, и систематизацией накопленного опыта и лучших мировых практик.