Сертификаты ИСО 27001 перестанут действовать в 2025 году! Почему это произошло? Что будет дальше?
Всем сотрудникам отделов информационной безопасности и старшим техническим специалистам, которые работают со СМИБ важно узнать следующее:
Первое. За последние 10 лет произошло увеличение киберугроз, выросли риски в области информационной безопасности, изменились технологии - все это потребовало пересмотра действующих стандартов в области ИБ.
Второе. В связи с этим были пересмотрены и введены в действие два стандарта ИСО 27001 и ИСО 27005.
31 октября 2022 года стартовал переходный период в сертификации по ИСО 27001. Переход продлится 3 года до 31 октября 2025 года.
Сертификация этой системы необходима для компаний, работающих с конфиденциальной информацией. Демонстрирует надежную защиту информации от утечек и кибератак.
Третье. Компаниям, которые уже получили сертификат ИСО на систему менеджмента информационной безопасности, потребуется получить новый документ по обновленному стандарту ГОСТ Р ИСО 27001 - 2021.
Все сертификаты ИСО 27001, выданные ранее, будут действовать до 31 октября 2025 года. Поможем оформить сертификат по новому стандарту - просто оставьте заявку на сайте.
Четвертое. После 30 апреля 2024 года первичные и ресертификационные аудиты будут проводиться по требованиям нового стандарта ИСО 27001-2021.
Пятое. В новой редакции ИСО 27001 содержатся важные изменения.
- Добавлено 11 новых контролей.
- Проведена реструктуризация групп контролей. Их количество сократилось до 4 (было 14).
- Количество контролей сократилось до 93 (было 114).
- Перестроены группы контролей.
- Новые контроли в приложении А стандарта ИСО 27001.
Как получить сертификат ИСО 27001?
- Подать заявку в орган по сертификации. Приложить к ней документы.
Документы для сертификации:
- Заявление
- Учредительные документы
- Перечень видов деятельности компании
- ИНН и ОГРН(ИП)
- Область действия СУИБ
- Политика СУИБ/Декларация ИБ/Политика информационной безопасности
- Положение о ролях и управлении ролями
- Процедура управления рисками ИБ/Методика оценки и обработки рисков
- Положение о применимости мер контроля/Соглашение о применимости контролей
- Записи о подготовке, навыках, опыте и квалификации специалистов, отвечающих за СУИБ
- Процедура управления документами/записями
- Отчет об оценке рисков
- План устранения/обработки рисков
- Мониторинг и измерение результатов/Политика контроля эффективности системы менеджмента информационной безопасности
- Программа/порядок/методика проведения внутреннего аудита для обеспечения информационной безопасности
- Результаты внутренних аудитов
- Результаты анализа со стороны руководства
- Порядок и устранение несоответствий и корректирующие действия
- Результаты корректирующих действий
- Материально-технические ресурсы активов
- Политика использования активов
- Политика управления доступом
- Процессы управления IT
- Журналы пользовательских действий, исключений и событий безопасности
- Принципы разработки защищенной системы
- Политика безопасности поставщика
- Процедура управления инцидентами
- Процедуры непрерывности бизнеса
- Регулирующие договорные требования
- Орган по сертификации проводит аудит внедренного стандарта ИСО 27001-2021. Если будут выявлены несоответствия, то дается время на корректировочные работы. Затем будет проводится повторный аудит.
- При успешном аудите оформляется сертификат ИСО 27001. Срок действия 3 года.
Наши специалисты помогут определить, готова ли ваша компания к сертификации по ИСО 27001, разработать или доработать недостающие документы, и получить сертификат вовремя - просто оставьте заявку на сайте.