Главная Стандарты Отрасли Почему BALTUM ✦ AI-оценка — baltum.ai Получить расчёт →
ГлавнаяСтандарты → ISO/IEC 27001

ISO/IEC 27001 — Управление информационной безопасностью

Международный стандарт для систем управления информационной безопасностью (СУИБ). Сертификация ISO 27001 подтверждает, что ваша организация внедрила систематические меры защиты информационных активов, и признаётся клиентами, регуляторами и закупочными органами в 100+ странах мира.

ISO 27001:2022 СУИБ Признание IAF MLA 100+ стран

Что такое ISO/IEC 27001?

ISO/IEC 27001 — ведущий международный стандарт для систем управления информационной безопасностью (СУИБ), опубликованный Международной организацией по стандартизации (ISO). Редакция 2022 года (ISO 27001:2022) ввела обновлённый набор мер контроля в Приложении A, согласованный с ISO 27002:2022, сократив их количество со 114 до 93 по 4 тематическим группам.

Сертификация подтверждает, что организация оценила риски информационной безопасности и внедрила соответствующие меры контроля в рамках системной структуры управления, прошедшей независимый аудит третьей стороны.

Кому необходим ISO 27001?

  • Технологическим и SaaS-компаниям с корпоративными B2B-клиентами
  • Организациям в сфере финансовых услуг, банковского дела и платёжных систем
  • Компаниям в сфере здравоохранения и MedTech, обрабатывающим данные пациентов
  • Государственным учреждениям и подрядчикам государственного сектора
  • Дата-центрам, облачным провайдерам и поставщикам управляемых услуг
  • Любой организации, отвечающей на запросы клиентов или закупочные анкеты по безопасности

ISO 27001:2022 — ключевые изменения по сравнению с 2013

Организации, сертифицированные по ISO 27001:2013, обязаны перейти на версию 2022 года. Основные изменения включают:

  • Приложение A реструктурировано в 4 темы: Организационные, Кадровые, Физические, Технологические
  • Добавлены 11 новых мер контроля, включая анализ угроз, облачную безопасность и маскирование данных
  • Общее число мер контроля сокращено со 114 до 93 (часть объединена)
  • Повышена совместимость с другими стандартами систем менеджмента ISO (Единая структура высокого уровня)

Область применения сертификации ISO 27001

Определение области применения — критически важный этап процесса сертификации. Область определяет, какие информационные активы, процессы, локации и подразделения входят в границы СУИБ. На этапе GAP-анализа BALTUM предоставляет детальные рекомендации по определению области, чтобы она была значимой для заинтересованных сторон и достижимой в рамках целевых сроков.

Работа с BALTUM: этап за этапом

  • Этап 1 — GAP-анализ и определение области: Оценка текущего состояния относительно требований ISO 27001:2022. Реестр несоответствий. Документ области применения. Дорожная карта проекта.
  • Этап 2 — Документация СУИБ: Политика информационной безопасности, методология оценки и обработки рисков, Заявление о применимости, процедуры и документация мер контроля.
  • Этап 3 — Поддержка внедрения: Руководство по внедрению мер контроля, внутренний аудит и содействие в проведении анализа со стороны руководства.
  • Этап 4 — Сертификационный аудит: Этап 1 — документарная проверка и Этап 2 — аудит на месте / дистанционный аудит аккредитованным органом сертификации.
  • Этап 5 — Надзор: Ежегодные надзорные аудиты и планирование ресертификации каждые три года.

Типичные сроки

Для средней организации (50–500 сотрудников) при первичной сертификации: 3–6 месяцев от старта до получения сертификата. Сроки зависят от размера организации, текущего уровня зрелости и доступности внутренних ресурсов. BALTUM предоставляет план проекта с контрольными точками в начале каждого проекта.

Интеграция с другими стандартами

ISO 27001 часто внедряется совместно с дополняющими стандартами. BALTUM предлагает интегрированные программы с общей документацией, мерами контроля и аудиторскими мероприятиями:

  • ISO 27001 + ISO 27701 (управление конфиденциальностью информации)
  • ISO 27001 + ISO 22301 (непрерывность бизнеса)
  • ISO 27001 + ISO 42001 (система управления ИИ)
  • ISO 27001 + SOC 2 (единая система доказательной базы)
  • ISO 27001 + PCI DSS (финансовый сектор)