Как вы помните, 27.09.2013 обновились стандарты ISO 27001 и ISO 27002 до версии 2013 года. Про ожидаемые изменения я уже писал ранее , тогда я сравнивал проекты новых версий стандартов с еще актуальными версиями 2005 года.
Сейчас я купил себе итоговую (актуальную) версию и, первым делом, сравнил с проектом от февраля 2013. Изменения есть, но они не существенные:
- Небольшие правки по тексту в п.6.1.2 (про риски). Больше правок в текстовой части не обнаружил.
- Правки в контролях Annex A:
- Изменен порядок мер в А.6.1
- Контроль "Return of assets" из А.8.2.4 перемещен в А.8.1.4
- Изменен порядок мер в А.9
- Новый контроль A.9.2.2 "User access provisioning"
- A.9.1.2 "Policy on the use of network services" переименован в A.9.1.2 "Access to networks and network services"
- A.9.2.2 "Privilege management" переименован в A.9.2.3 "Management of privileged access rights"
- A.14.1.1 "Security requirements analysis and specification" переименован в 14.1.1 "Information Security requirements analysis and specification", поменялось описание контроля
- A.14.2.2 "Change control procedures" переименован в A.14.2.2 "System change controlprocedures", поменялось описание контроля
- A.14.2.5 "System development procedures" переименован в A.14.2.5 "Secure system engineering principles"
- В А.18 домены А18.1 и А.18.2 поменяны местами
- A.18.2.3"Protection of documented information" переименован в A.18.1.3 "Protection of records", поменялось описание контроля
Таким образом, мой прошлый обзор изменений остается достаточно актуальным, можете пользоваться пока им. Напомню лишь про одно из важных обновлений, а именно: всего в документе стало 114 контролей (было 133), объединенных в 14 групп (было 11):
- A.5 Information security policies
- A.6 Organization of information security
- A.7 Human resource security
- A.8 Asset management
- A.9 Access control
- A.10 Cryptography
- A.11 Physical and environmental security
- A.12 Operations security
- A.13 Communications security
- A.14 System acquisition, development and maintenance
- A.15 Supplier relationships
- A.16 Information security incident management
- A.17 Information security aspects of business continuity management
- A.18 Compliance
Ожидайте дальнейших постов по теме ISO 27001, в обновленной версии документа много нового и интересного...
P.S. Еще можете посмотреть:
