Biz haqimizdaStandartlarBlog ✦ AI baholashNarx olish →
Bosh sahifa  /  Blog  /  ISO 27001:2022 ga o'tish qo'llanmasi

ISO 27001:2022 ga o'tish — muddat tugashidan oldin nimalarni bilish kerak

ISO/IEC 27001:2022 uchun o'tish davri yakuniy bosqichga kirdi. 2013-yil versiyasiga sertifikatlangan tashkilotlar Axborot xavfsizligini boshqarish tizimlarini yangilash va sertifikatsiyani saqlash uchun hozir harakatga o'tishlari kerak. Ushbu qo'llanma har bir muhim o'zgarishni, yangi A ilovasi nazorat tuzilmasini va amaliy bosqichma-bosqich o'tish yo'l xaritasini qamrab oladi.

ISO 27001 AXBT O'tish

 ·  8 daq o'qish

2022-yil qayta ko'rib chiqilishi nima uchun muhim

ISO/IEC 27001:2022 2013-yil nashrini 2022-yil oktyabrda almashtirdi. Xalqaro akkreditatsiya forumi (IAF) uch yillik o'tish oynasini belgiladi, ya'ni barcha mavjud ISO 27001:2013 sertifikatlari 2025-yil 31-oktyabrgacha 2022-yil versiyasiga o'tkazilishi kerak. Shu sanadan keyin 2013 standartiga havolali har qanday sertifikat haqiqiy emas deb hisoblanadi.

Bu kichik ma'muriy yangilanish emas. Asosiy boshqaruv tizimi bandlari (4 dan 10 gacha) nisbatan oddiy o'zgarishlarni olgan bo'lsa-da, A ilovasi to'liq qayta tuzildi. Avvalgi 14 ta domen bo'yicha 114 ta nazorat chorasi atigi to'rtta mavzu bo'yicha 93 ta nazorat chorasiga birlashtirildi. Bulutli hisoblash, tahdid razvedkasi, ma'lumotlarni maskalash va xavfsiz ishlab chiqish hayot davrlari atrofida rivojlanayotgan tahdid landshaftini aks ettiruvchi o'n bitta butunlay yangi nazorat chorasi joriy etildi.

Boshqaruv tizimi bandlaridagi asosiy o'zgarishlar

4 dan 10 gacha bandlardagi boshqaruv tizimi talablari barcha ISO boshqaruv tizimi standartlarida qo'llaniladigan Uyg'unlashtirilgan tuzilmaga (HS) moslashtirilgan. 2022-yil qayta ko'rib chiqishi bir nechta maqsadli o'zgarishlarni joriy etadi:

  • Band 4.2 — Manfaatdor tomonlar: Tashkilotlar endi manfaatdor tomonlarning qaysi talablari AXBT orqali hal qilinishini aniq belgilashlari kerak.
  • Band 4.4 — AXBT qamrovi: Standart endi tashkilotlardan AXBT uchun zarur bo'lgan jarayonlar va ularning o'zaro aloqalarini aniqlashni talab qiladi.
  • Band 6.2 — Maqsadlar: Axborot xavfsizligi maqsadlari endi monitoring qilinishi va monitoring qanday amalga oshirilishi aniq hujjatlashtirilishi kerak.
  • Band 6.3 — O'zgarishlarni rejalashtirish: Bu yangi quyi band. AXBT ga o'zgarishlar kiritish zarurati aniqlanganda, bu o'zgarishlar rejalashtirilgan tarzda amalga oshirilishi kerak.
  • Band 8.1 — Operatsion rejalashtirish va nazorat: Tashkilotlar xavfsizlik jarayonlari uchun mezonlarni belgilashlari va ushbu mezonlarga muvofiq nazorat choralarini amalga oshirishlari kerak.
  • Band 9.3 — Rahbariyat ko'rib chiqishi: Rahbariyat ko'rib chiqish kirishlari endi AXBT ga tegishli manfaatdor tomonlarning ehtiyojlari va kutishlaridagi o'zgarishlarni aniq o'z ichiga oladi.
  • Band 10 — Yaxshilash: Tartib o'zgardi. Doimiy yaxshilash (10.1) endi nomuvofiqlik va tuzatuvchi harakatdan (10.2) oldin keladi.

Yangi A ilovasi tuzilmasi: o'n to'rt o'rniga to'rtta mavzu

Eng ko'rinadigan o'zgarish A ilovasining qayta tashkil etilishidir. 2022-yil versiyasi ularni to'rtta mavzuiy guruhga qayta tuzdi:

MavzuNazorat choralariTavsif
A.5 Tashkiliy37Siyosatlar, rollar, mas'uliyatlar, tahdid razvedkasi, aktivlarni boshqarish, kirish nazorati, yetkazib beruvchi munosabatlari, muvofiqlik.
A.6 Xodimlar8Tekshiruv, ish shartlari, xabardorlik, o'qitish, intizomiy jarayon, masofadan ishlash.
A.7 Jismoniy14Jismoniy xavfsizlik perimetrlari, kirish nazorati, ofislarni himoya qilish, jismoniy xavfsizlik monitoringi.
A.8 Texnologik34Foydalanuvchi so'nggi qurilmalari, imtiyozli kirish, xavfsiz autentifikatsiya, zararli dasturlardan himoya, zaifliklarni boshqarish, konfiguratsiyani boshqarish, ma'lumotlarni maskalash, DLP, monitoring, veb-filtrlash, xavfsiz kodlash.

Siz hal qilishingiz kerak bo'lgan 11 ta yangi nazorat chorasi

ISO 27001:2022 2013-yil versiyasida to'g'ridan-to'g'ri ekvivalenti bo'lmagan o'n bitta nazorat chorasini joriy etadi:

  • A.5.7 — Tahdid razvedkasi: Tashkilotlar o'z axborot xavfsizligiga tahdidlar haqida ma'lumot yig'ishi va tahlil qilishi kerak.
  • A.5.23 — Bulut xizmatlaridan foydalanish uchun axborot xavfsizligi: Bulut xizmatlarini sotib olish, foydalanish, boshqarish va chiqish uchun jarayonlarni o'rnatishni talab qiluvchi maxsus nazorat chorasi.
  • A.5.30 — Biznes uzluksizligi uchun AKT tayyorligi: AKT tizimlari uzilishga maxsus tayyorlanishini talab qiladi.
  • A.7.4 — Jismoniy xavfsizlik monitoringi: Binolar ruxsatsiz jismoniy kirishga nisbatan doimiy ravishda kuzatilishi kerak.
  • A.8.9 — Konfiguratsiyani boshqarish: Apparat, dasturiy ta'minot va xizmatlar konfiguratsiyalari hujjatlashtirilishi va kuzatilishi kerak.
  • A.8.10 — Ma'lumotlarni o'chirish: Endi kerak bo'lmagan ma'lumotlar o'chirilishi kerak.
  • A.8.11 — Ma'lumotlarni maskalash: Ma'lumotlarni maskalash tashkilot siyosatiga muvofiq qo'llanilishi kerak.
  • A.8.12 — Ma'lumotlar sizib chiqishining oldini olish: DLP choralari maxfiy ma'lumotlarni qayta ishlaydigan tizimlar, tarmoqlar va so'nggi nuqtalarga qo'llanilishi kerak.
  • A.8.16 — Monitoring faoliyati: Tarmoqlar, tizimlar va ilovalar anomal xatti-harakat uchun kuzatilishi kerak.
  • A.8.23 — Veb-filtrlash: Tashqi veb-saytlarga kirish zararli kontentga ta'sirlanishni kamaytirish uchun boshqarilishi kerak.
  • A.8.28 — Xavfsiz kodlash: Dasturiy ta'minotni ishlab chiqishda xavfsiz kodlash tamoyillari qo'llanilishi kerak.

O'tish muddatlari: biz qayerdamiz

  • 2022-yil oktyabr: ISO/IEC 27001:2022 nashr etildi. O'tish davri boshlandi.
  • 2024-yil aprel: Sertifikatsiya organlari faqat 2022-yil versiyasi bo'yicha dastlabki sertifikatsiya auditlarini o'tkazishi kerak.
  • 2025-yil 31-oktyabr: Barcha mavjud ISO 27001:2013 sertifikatlari haqiqiy bo'lmaydi.

2026-yil martiga kelib, o'tish muddati o'tgan. Agar tashkilotingiz hali o'tmagan bo'lsa, ISO 27001:2013 sertifikatingiz endi haqiqiy emas. Siz o'tish auditi o'rniga to'liq 1-bosqich va 2-bosqich auditni o'z ichiga olgan 2022-yil versiyasi bo'yicha to'g'ridan-to'g'ri qayta sertifikatsiyaga murojaat qilishingiz kerak bo'ladi.

2025-yil oktyabr muddatini o'tkazib yuborgan tashkilotlar darhol sertifikatsiya organi bilan bog'lanishlari kerak. Ba'zi organlar tezlashtirilgan qayta sertifikatsiya yo'llarini taklif qilishi mumkin.

Bosqichma-bosqich o'tish yo'l xaritasi

1-qadam: Bo'shliq tahlilini o'tkazing. Joriy Qo'llanilishi bayonomangizni (SoA) yangi A ilovasi nazorat choralari bilan solishtiring.

2-qadam: Xavfni baholashni yangilang. Xavfni davolash rejangizda havola qilingan nazorat choralari to'plami ISO 27002:2022 ning A ilovasini aks ettirish uchun yangilanishi kerak.

3-qadam: Qo'llanilishi bayonotingizni qayta ko'rib chiqing. SoA 2022-yil versiyasining 93 ta nazorat chorasiga havola qilishi kerak.

4-qadam: Siyosat va protseduralarni yangilang. Yangi nazorat choralari yangi jarayonlarni talab qiladigan sohalarga alohida e'tibor bering.

5-qadam: Yangi nazorat choralarini amalga oshiring. 11 ta yangi nazorat chorasining har biri uchun amalga oshirish yondashuvini aniqlang.

6-qadam: Boshqaruv tizimi hujjatlarini yangilang. 4-10 bandlardagi o'zgarishlarni hal qiling.

7-qadam: Jamoangizni o'qiting. AXBT mas'uliyatlari bo'lgan barcha xodimlar o'zgarishlarni tushunishlari kerak.

8-qadam: Ichki audit o'tkazing. 2022-yil talablariga nisbatan to'liq ichki auditni amalga oshiring.

9-qadam: Rahbariyat ko'rib chiqishi. 9.3-band tomonidan talab qilingan barcha yangilangan kirishlarni qamrab oluvchi rahbariyat ko'rib chiqishini o'tkazing.

10-qadam: Sertifikatsiya auditi. O'tish auditini rejalashtirish uchun sertifikatsiya organingiz bilan bog'laning.

Oldini olish kerak bo'lgan umumiy xatolar

  • Uni raqamlarni o'zgartirish mashqi sifatida ko'rish: Eski nazorat raqamlarini yangilariga qayta xaritalash qayta ko'rib chiqish maqsadini o'tkazib yuboradi.
  • Texnologiya talablarini kam baholash: A.8.16 (Monitoring faoliyati), A.8.12 (DLP) va A.8.23 (Veb-filtrlash) kabi nazorat choralari yangi vositalarni talab qilishi mumkin.
  • Ichki auditorlarni o'qitishni e'tiborsiz qoldirish: 2013-yil tekshiruv ro'yxatidan ishlaydigan ichki auditorlar 2022-yil versiyasiga samarali auditlar o'tkazmaydi.
  • SoA ni oxirgi daqiqaga qoldirish: Qo'llanilishi bayonoti aksariyat auditorlar so'raydigan birinchi hujjatdir.

BALTUM o'tishingizni qanday qo'llab-quvvatlaydi

BALTUM ning xalqaro auditorlar va maslahatchilar tarmog'i standart nashr etilganidan beri tashkilotlarni ISO 27001:2022 ga o'tishda qo'llab-quvvatlamoqda. Xizmatlarimiz quyidagilarni o'z ichiga oladi:

  • Bo'shliq tahlili: Joriy AXBT ni 2022-yil talablariga solishtirgan tuzilgan baholash.
  • SoA ni qayta ko'rib chiqishni qo'llab-quvvatlash: Qo'llanilishi bayonotingizni yangilash bo'yicha ekspert ko'rsatmalari.
  • Ichki auditorlarni o'qitish: Ichki audit guruhingizni 2022-yil nazorat choralari bo'yicha audit o'tkazishga tayyorlaydigan akkreditatsiyalangan o'quv dasturlari.
  • Sertifikatsiyadan oldingi ko'rib chiqish: Sertifikatsiya organingiz tashrif buyurishidan oldin qolgan nomuvofiqliklarni aniqlash va hal qilish uchun to'liq tayyorlikni baholash.
  • Qayta sertifikatsiya yordami: O'tish muddatini o'tkazib yuborgan tashkilotlar uchun ISO 27001:2022 bo'yicha qayta sertifikatsiyaga imkon qadar samarali erishish uchun tezlashtirilgan dastur.

ISO 27001:2022 ga o'tish nafaqat muvofiqlik majburiyati — bu zamonaviy tahdid landshaftini aks ettiruvchi nazorat choralari bilan xavfsizlik holatini mustahkamlash imkoniyatidir.