Новия проект на ISO 27001:2013 DRAFT –
основни (предвидени)
промени
1.Липсва изрично изискване за
задължителните документирани процедури по сигурността (напр. за управление на
документите, вътрешните одити, коригиращи и превантивни действия
2.Липсва списък на задължителните за СУИС
документи (т. 4.3.1 от текущата версия на ISO 27001)
3.Либерализация на процесите и
дейностите, свързани с оценката на риска
- липса на изискването за наличност на документирана методология за
оценка на риска.
4.Структурата на ISO 27001 съдържа
11 пункта (вместо 8 в текущата версия) и приложение А (променено по обхват и детайли)
5.Въведени са нови термини - „leadership”,
„заинтересовани страни”, „документирана информация”
6.Понятието „собственик на актив” е заменено
с понятието „собственик на риска”
7.Въведен е нов
пункт – „Комуникации”, свързан с въпросите на сигурността на информацията вътре
в организацията и извън нейните предели.
8.В Приложение А към
ISO 27001 има
следните основни промени:
- Общото количество групи
от контроли в новата версия са 14 (11 в
текущата версия);
- Общия брой
контроли е 113 (133 в текущата версия);
- Отпадат следните контроли (както са
обозначени в Приложение А, от текущата
версия на стандарта) - A.6.1.1, A.6.1.4, A.6.2.1,
A.6.2.2, A.10.2.1, A.10.4.2 ., A.10.7.4, A.10.8.5, A.10.9.3, A.10.10.2,
A.10.10.5, A.11.4.2, A.11.4.3, A.11.4.4, A.11.4.6, A.11.4.7, A.11.5.2,
A.11.5.5, A.11.5.6, A.11.6.2, A.12.2.1, A.12.2.2, А. 12.2.3, A.12.2.4,
A.12.5.4, A.14.1.2, A.14.1.4, A.15.1.5, A.15.3.2
9.Добавят се 9 нови
средства за контрол, както следва:
- А.6.1.4 Information security in project management
- A.12.6.2 Restrictions on software installation
- A.14.2.1 Secure development policy
- A.14.2.5 System development procedures
- A.14.2.6 Secure development environment
- A.14.2.8 System security testing
- A.16.1.4 Assessment and decision of information security events
- A.16.1.5 Response to information security incidents
- A.17.2.1 Availability of information processing facilities
- А.6.1.4 Information security in project management
- A.12.6.2 Restrictions on software installation
- A.14.2.1 Secure development policy
- A.14.2.5 System development procedures
- A.14.2.6 Secure development environment
- A.14.2.8 System security testing
- A.16.1.4 Assessment and decision of information security events
- A.16.1.5 Response to information security incidents
- A.17.2.1 Availability of information processing facilities
Основния резултат от
предвидените промени в ISO 27001- 2013,
е свързан с наличието на повече свобода (в т.ч. и творчество) при проектирането
на СУИС и възможности за по-лесна интеграция с други системи за управление
(качество, ИТ услуги и др.). От друга страна, наличието само на общи изисквания
в стандарта повишава отговорността на
консултантите / разработчиците / внедрители СУИС.
Забележка: Направените основни констатации са базирани на текущото
съдържание на ISO 27001:2013 DRAFT, който
се очаква да бъде въведен, като официална нова версия през третото тримесечие
на 2013 г.
УСЛУГИ ПО ИНФОРМАЦИОННА СИГУРНОСТ ПРЕДОСТАВЯНИ ОТ INFOSEC SERVICE
INFOSEC SERVICE предоставя набор от услуги за своите клиенти, свързани с изграждането система за фирмена сигурност и в частност, система за управление на информационната сигурност (СУИС).
Забележка: От началото на 2013 г., всички предоставяни от INFOSEC SERVICE услуги отчитат и новите / променените изисквания на предстоящите за официално въвеждане (трето тримесечие на 2013 г.) стандарти за информационна сигурност ISO 27001:2013 и ISO 27002:2013
Контакти:
Пламен Каменов - Консултант
мобилен: +359 886 655 315
Няма коментари:
Публикуване на коментар