Переход на ISO 27001:2022: что нужно знать бизнесу

Для организаций, сертифицированных по стандарту ISO/IEC 27001:2013, наступает важный этап обновления. 31 октября 2025 года завершается трёхлетний переходный период, и компаниям необходимо пройти сертификацию по обновленной версии стандарта ISO 27001:2022.

Этот переход представляет собой естественную эволюцию стандарта, направленную на повышение эффективности систем информационной безопасности и адаптацию к современным вызовам киберугроз.

Обновленная версия стандарта включает 11 дополнительных контролей, которые отражают актуальные тенденции в области кибербезопасности:

Подробнее об изменениях читайте в нашей статье "Что изменилось в ISO/IEC 27001:2022 по сравнению с редакцией 2013 года?"

Рекомендуем начать с оценки готовности вашей СМИБ к новым требованиям:

• Провести анализ пробелов между текущей системой и требованиями новой версии
• Оценить готовность процедур для новых контролей
• Проверить актуальность документации
• Определить необходимые изменения в технических системах

Актуализируйте ключевые документы СМИБ:

• Политику информационной безопасности
• Реестр активов и угроз
• Процедуры управления инцидентами
• Планы непрерывности бизнеса

Предлагаем приоритизировать внедрение контролей по степени важности для вашего бизнеса:

• Первая очередь: Управление уязвимостями, мониторинг безопасности
• Вторая очередь: Разведка угроз, управление конфигурациями
• По мере возможности: Остальные новые контроли

Для успешного перехода рекомендуем:

• Связаться с аккредитованными органами сертификации для планирования аудита
• Рассмотреть различные варианты проведения процедуры
• Подготовить необходимую документацию заранее

После завершения переходного периода сертификаты по версии 2013 года утратят силу. Это может повлиять на:

• Участие в тендерах, требующих действующей сертификации ISO/IEC 27001
• Деловые отношения с клиентами и партнерами
• Выполнение контрактных обязательств

Новые контроли разработаны с учётом современных киберугроз, включая атаки на цепочки поставок, социальную инженерию и продвинутые постоянные угрозы (APT).

Организации с актуальной сертификацией ISO 27001:2022 демонстрируют современный подход к информационной безопасности, что ценится клиентами и партнерами.

Многие новые требования регуляторов в области кибербезопасности уже учтены в обновленном стандарте.

Переход на ISO 27001:2022 – это возможность не только поддерживать соответствие стандарту, но и усовершенствовать систему информационной безопасности организации. При грамотном планировании и профессиональной поддержке процесс может быть выполнен эффективно и с минимальными затратами.

Наша команда экспертов поможет вам разработать оптимальную стратегию перехода с учётом специфики вашего бизнеса и временных ограничений. Свяжитесь с нами для получения персональной консультации и разработки индивидуального плана действий.

Что поменялось в ISO/IEC 27001:2022 по сравнению с редакцией 2013?

Ключевое – обновлённое Приложение A, синхронизированное с ISO/IEC 27002:2022: теперь 93 контроля вместо 114 и 11 новых (тематики «Орг./Люди/Физ./Технологии»). В основной части уточнены формулировки, добавлено требование планового управления изменениями (6.3). На практике это означает заново пройтись по SoA, рискам и процессам, а не «перепрошить» только список мер.

Где взять 27001:2022 «на русском» и понятные руководства?

Текст стандарта приобретается у ISO или нац. организации; русскоязычная страница и официальный Handbook по внедрению доступны на сайте ISO. Для подготовки удобно сочетать купленный текст стандарта и практические гайды (вопросники самооценки, карты соответствия).

Нужно ли в 2025 учитывать «климатические» уточнения к 27001?

Да. ISO/IEC 27001:2022/Amd 1:2024 добавляет учёт климатических факторов в анализе контекста/ожиданий заинтересованных сторон (на уровне Единой структуры управленческих стандартов). Отразите это в 4.1−4.2, рисках и целях (если релевантно бизнесу), чтобы не ловить формальные несоответствия.