От проекта ISO 27001:2013 к итоговому документу

От проекта ISO 27001:2013 к итоговому документу
Как вы помните, 27.09.2013 обновились стандарты ISO 27001 и ISO 27002 до версии 2013 года. Про ожидаемые изменения я уже писал ранее , тогда я сравнивал проекты новых версий стандартов с еще актуальными версиями 2005 года. 

Сейчас я купил себе итоговую (актуальную) версию и, первым делом, сравнил с проектом от февраля 2013. Изменения есть, но они не существенные:
  • Небольшие правки по тексту в п.6.1.2 (про риски). Больше правок в текстовой части не обнаружил. 
  • Правки в контролях Annex A:
    1. Изменен порядок мер в А.6.1
    2. Контроль "Return of assets" из А.8.2.4 перемещен в А.8.1.4
    3. Изменен порядок мер в А.9
    4. Новый контроль A.9.2.2 "User access provisioning"
    5. A.9.1.2 "Policy on the use of network services" переименован в A.9.1.2 "Access to networks and network services"  
    6. A.9.2.2 "Privilege management" переименован в A.9.2.3 "Management of privileged access rights"
    7. A.14.1.1 "Security requirements analysis and specification" переименован в 14.1.1 "Information Security requirements analysis and specification", поменялось описание контроля
    8. A.14.2.2 "Change control procedures" переименован в A.14.2.2 "System change controlprocedures", поменялось описание контроля
    9. A.14.2.5 "System development procedures" переименован в  A.14.2.5 "Secure system engineering principles"
    10. В А.18 домены А18.1 и А.18.2 поменяны местами
    11. A.18.2.3"Protection of documented information" переименован в A.18.1.3 "Protection of records", поменялось описание контроля
Таким образом, мой прошлый обзор изменений остается достаточно актуальным, можете пользоваться пока им. Напомню лишь про одно из важных обновлений, а именно: всего в документе стало 114 контролей (было 133), объединенных в 14 групп (было 11):
  • A.5 Information security policies
  • A.6 Organization of information security
  • A.7 Human resource security
  • A.8 Asset management
  • A.9 Access control
  • A.10 Cryptography
  • A.11 Physical and environmental security
  • A.12 Operations security
  • A.13 Communications security
  • A.14 System acquisition, development and maintenance
  • A.15 Supplier relationships
  • A.16 Information security incident management
  • A.17 Information security aspects of business continuity management
  • A.18 Compliance

Ожидайте дальнейших постов по теме ISO 27001, в обновленной версии документа много нового и интересного...


P.S. Еще можете посмотреть:

Alt text
Комментарии для сайта Cackle

Andrey Prozorov

Информационная безопасность в России и мире