В этой статье вы узнаете о ключевых изменениях в стандарте ISO 27001:2022, а также пошаговый план перехода на обновленную версию стандарта.
Видео – визуальное дополнение к этой статье.
Для организаций, сертифицированных по стандарту ISO/IEC 27001:2013, наступает важный этап обновления. 31 октября 2025 года завершается трёхлетний переходный период, и компаниям необходимо пройти сертификацию по обновленной версии стандарта ISO 27001:2022.
Этот переход представляет собой естественную эволюцию стандарта, направленную на повышение эффективности систем информационной безопасности и адаптацию к современным вызовам киберугроз.
Что нового в ISO 27001:2022
Обновленная версия стандарта включает 11 дополнительных контролей, которые отражают актуальные тенденции в области кибербезопасности:
Ключевые новые контроли:
- Разведка угроз – систематический сбор и анализ информации о потенциальных угрозах
- Управление уязвимостями – регулярная оценка и устранение уязвимостей в системах
- Мониторинг безопасности – непрерывное отслеживание событий безопасности
- Управление конфигурациями – контроль изменений в ИТ-инфраструктуре
- Фильтрация веб-контента – защита от вредоносного веб-трафика
- Безопасное кодирование – внедрение принципов безопасной разработки
Подробнее об изменениях читайте в нашей статье "Что изменилось в ISO/IEC 27001:2022 по сравнению с редакцией 2013 года?"
Пошаговый план перехода
1. Анализ текущего состояния
Рекомендуем начать с оценки готовности вашей СМИБ к новым требованиям:
- Провести анализ пробелов между текущей системой и требованиями новой версии
- Оценить готовность процедур для новых контролей
- Проверить актуальность документации
- Определить необходимые изменения в технических системах
2. Обновление документации
Актуализируйте ключевые документы СМИБ:
- Политику информационной безопасности
- Реестр активов и угроз
- Процедуры управления инцидентами
- Планы непрерывности бизнеса
3. Поэтапное внедрение новых контролей
Предлагаем приоритизировать внедрение контролей по степени важности для вашего бизнеса:
- Первая очередь: Управление уязвимостями, мониторинг безопасности
- Вторая очередь: Разведка угроз, управление конфигурациями
- По мере возможности: Остальные новые контроли
4. Подготовка к аудиту
Для успешного перехода рекомендуем:
- Связаться с аккредитованными органами сертификации для планирования аудита
- Рассмотреть различные варианты проведения процедуры
- Подготовить необходимую документацию заранее
Важность своевременного перехода
Поддержание соответствия
После завершения переходного периода сертификаты по версии 2013 года утратят силу. Это может повлиять на:
- Участие в тендерах, требующих действующей сертификации ISO/IEC 27001
- Деловые отношения с клиентами и партнерами
- Выполнение контрактных обязательств
Практические соображения
- Возможное влияние на бизнес-процессы
- Необходимость прохождения полной сертификации вместо переходного аудита при просрочке
- Потенциальные требования регуляторов в некоторых отраслях
Преимущества перехода на ISO 27001:2022
Повышение защищённости
Новые контроли разработаны с учётом современных киберугроз, включая атаки на цепочки поставок, социальную инженерию и продвинутые постоянные угрозы (APT).
Укрепление рыночных позиций
Организации с актуальной сертификацией ISO 27001:2022 демонстрируют современный подход к информационной безопасности, что ценится клиентами и партнерами.
Соответствие трендам регулирования
Многие новые требования регуляторов в области кибербезопасности уже учтены в обновленном стандарте.
Рекомендации по реализации
Переход на ISO 27001:2022 – это возможность не только поддерживать соответствие стандарту, но и усовершенствовать систему информационной безопасности организации. При грамотном планировании и профессиональной поддержке процесс может быть выполнен эффективно и с минимальными затратами.
Готовы начать переход на ISO 27001:2022?
Наша команда экспертов поможет вам разработать оптимальную стратегию перехода с учётом специфики вашего бизнеса и временных ограничений. Свяжитесь с нами для получения персональной консультации и разработки индивидуального плана действий.
Q&A
Что поменялось в ISO/IEC 27001:2022 по сравнению с редакцией 2013?
Ключевое – обновлённое Приложение A, синхронизированное с ISO/IEC 27002:2022: теперь 93 контроля вместо 114 и 11 новых (тематики «Орг./Люди/Физ./Технологии»). В основной части уточнены формулировки, добавлено требование планового управления изменениями (6.3). На практике это означает заново пройтись по SoA, рискам и процессам, а не «перепрошить» только список мер.
Где взять 27001:2022 «на русском» и понятные руководства?
Текст стандарта приобретается у ISO или нац. организации; русскоязычная страница и официальный Handbook по внедрению доступны на сайте ISO. Для подготовки удобно сочетать купленный текст стандарта и практические гайды (вопросники самооценки, карты соответствия).
Нужно ли в 2025 учитывать «климатические» уточнения к 27001?
Да. ISO/IEC 27001:2022/Amd 1:2024 добавляет учёт климатических факторов в анализе контекста/ожиданий заинтересованных сторон (на уровне Единой структуры управленческих стандартов). Отразите это в 4.1−4.2, рисках и целях (если релевантно бизнесу), чтобы не ловить формальные несоответствия.
Ключевое – обновлённое Приложение A, синхронизированное с ISO/IEC 27002:2022: теперь 93 контроля вместо 114 и 11 новых (тематики «Орг./Люди/Физ./Технологии»). В основной части уточнены формулировки, добавлено требование планового управления изменениями (6.3). На практике это означает заново пройтись по SoA, рискам и процессам, а не «перепрошить» только список мер.
Где взять 27001:2022 «на русском» и понятные руководства?
Текст стандарта приобретается у ISO или нац. организации; русскоязычная страница и официальный Handbook по внедрению доступны на сайте ISO. Для подготовки удобно сочетать купленный текст стандарта и практические гайды (вопросники самооценки, карты соответствия).
Нужно ли в 2025 учитывать «климатические» уточнения к 27001?
Да. ISO/IEC 27001:2022/Amd 1:2024 добавляет учёт климатических факторов в анализе контекста/ожиданий заинтересованных сторон (на уровне Единой структуры управленческих стандартов). Отразите это в 4.1−4.2, рисках и целях (если релевантно бизнесу), чтобы не ловить формальные несоответствия.