Что изменилось в ISO/IEC 27001:2022 по сравнению с редакцией 2013 года?

Пункт 4.2. Понимание потребностей и ожиданий заинтересованных сторон: Появился новый подпункт, требующий анализа требований заинтересованных сторон, которые будут удовлетворяться посредством СМИБ.

Пункт 4.4. Система управления информационной безопасностью: Добавлена новая формулировка, требующая, чтобы СМИБ включала в себя процессы, лежащие в основе СМИБ. То есть не только те, что указаны в стандарте.  

Пункт 6.2. Цели информационной безопасности и планирование их достижения: Включает дополнительные рекомендации по целям информационной безопасности. Это дает больше ясности в отношении того, как цели должны контролироваться и документироваться.

Пункт 6.3. Планирование изменений: Этот пункт добавлен для того, чтобы установить стандарт планирования изменений. То есть если в СМИБ потребуются изменения, они должны быть правильно спланированы. 

Пункт 8.1. Оперативное планирование и контроль: Появилось дополнительное руководство по оперативному планированию и контролю.  

Дополнительные незначительные изменения в этих пунктах включают в себя: 

Пункт 5.3. Организационные роли, обязанности и полномочия: Информация о ролях, имеющих отношение к информационной безопасности, должна сообщаться внутри организации. 

Пункт 7.4. Коммуникация: Подпункты D и E были упрощены и объединены.  

Пункт 9.2. Внутренний аудит: Он объединил то, что уже существовало между пунктами 9.2.1 и 9.2.2, в один раздел.  

Пункт 9.3. Анализ со стороны руководства: Добавлен новый пункт, поясняющий, что анализ со стороны руководства организации должен включать рассмотрение любых изменений в потребностях и ожиданиях заинтересованных сторон.

Пункт 10 Улучшение. Здесь произошли только структурные изменения: постоянное улучшение (10.1) перечисляют первым, а несоответствие и корректирующие действия (10.2) – вторым.

A.5.7 Аналитика угроз. Этот элемент управления требует от организаций сбора и анализа информации об угрозах, чтобы они могли принять меры для снижения риска.

A.5.23 Информационная безопасность для использования облачных служб. Элемент подчеркивает необходимость повышения информационной безопасности в облаке и требует установления стандартов безопасности для облачных служб и наличия процессов и процедур специально для облачных служб.  

A.5.30 Готовность ИКТ к непрерывности бизнеса. Этот элемент требует обеспечения возможности восстановления/использования информационных и коммуникационных технологий в случае сбоев.  

A.7.4 Мониторинг физической безопасности. Здесь говорится о том, что организации должны контролировать чувствительные физические области (центры обработки данных, производственные объекты и т. д.), чтобы обеспечить доступ к ним только авторизованных людей, чтобы организация была осведомлена в случае нарушения.  

A.8.9 Управление конфигурацией. Этот элемент о том, чтобы организация управляла конфигурацией своей технологии, чтобы обеспечить ее безопасность и избежать несанкционированных изменений.  

A.8.10 Удаление информации. Здесь требуется удаления данных, когда они больше не требуются, чтобы избежать утечки конфиденциальной информации и соблюдать требования конфиденциальности.  

A.8.11 Маскирование данных. Этот элемент управления требует, чтобы организации использовали маскирование данных в соответствии с политикой управления доступом организации для защиты конфиденциальной информации.  

A.8.12 Предотвращение утечки данных. Элемент требует от организаций реализации мер по предотвращению утечки данных и раскрытия конфиденциальной информации из систем, сетей и других устройств. 

A.8.16 Мониторинг действий. Здесь говорится о мониторинге систем на предмет необычных действий и внедрения соответствующих процедур реагирования на инциденты.  

A.8.23 Веб-фильтрация. Этот элемент управления требует, чтобы организации управляли доступом пользователей к веб-сайтам для защиты IT-систем.  

A.8.28 Безопасное кодирование. Этот элемент о том, что принципы безопасного кодирования должны быть установлены в рамках процесса разработки программного обеспечения организации, чтобы уменьшить уязвимости безопасности.