В октябре 2013 года планируется публикация новой редакции стандарта, содержащего требования к системам управления информационной безопасностью ISO / IEC 27001. В процессе работы над изменениями в стандарт специалисты учитывали мнение и рекомендации представителей бизнеса, уже прошедших сертификацию по стандарту ISO/IEC 27001:2005 “Информационная технология - Методы обеспечения безопасности - Системы менеджмента информационной безопасности - Требования”.
По словам руководителя рабочей группы по изменению данного документа Эдварда Хамфриса, обновленный стандарт ISO / IEC 27001 поможет субъектам хозяйствования значительно повысить эффективность своей работы, управляя рисками. Новый документ будет включать в себя целый ряд нововведений в области контроля за безопасностью, перечисленных в приложении А к стандарту. Стоит отметить, что доработка документа требовалась в связи с необходимостью актуализации стандарта и сокращения рисков хищения конфиденциальных данных, взлома информационной техники, а также в связи с интеграцией данного нормативного документа с другими стандартами на системы управления качеством.
Касаемо последнего, то применение обновленного стандарта будет полезным для тех компаний, которые ставят своей целью внедрение одновременно нескольких стандартов систем менеджмента. Благодаря тому, что разные стандарты будут иметь схожую структуру, компании смогут значительно сэкономить свое время и деньги на внедрение этих стандартов. Так, внедряя ISO / IEC 27001, компания может оперативно получить сертификат ИСО 9001-2015 “Системы менеджмента качества”, ISO 22301:2012 “Безопасность социальная - Системы менеджмента непрерывности бизнеса - Требования”, ISO/IEC 20000-1:2011 “Информационные технологии - Менеджмент услуг - Часть 1: Требования к системе менеджмента услуг”.
В данный момент новая редакция стандарта ISO / IEC 27001проходит завершающую стадию проектирования международного стандарта. Вскоре подготовленная версия для печати пойдет в тираж, и в конце октября поступит в продажу. С этого момента устаревшая версия 2005 года будет изъята из продажи.
Те компании, которые имеют сертификаты по устаревшему стандарту, должны будут привести свои системы управления it-безопасностью в соответствие новым требованиям стандарта. Касаемо переходного периода – на данный момент пока нет точного срока, однако по планам рабочей группы установить его в пределах 2 лет с момента опубликования нового документа.
13 сентября 2013
