Опубликована новая версия стандарта по информационной безопасности – ISO/IEC 27014:2020

Опубликована новая версия стандарта по информационной безопасности – ISO/IEC 27014:2020

Обеспечение информационной безопасности является ключевой задачей для организаций, осуществить которую становится все сложнее из-за быстрого развития методологий и технологий кибератак и, как следствие, растущего давления со стороны нормативных органов.

Под управлением информационной безопасностью в рамках организации подразумевается использование ресурсов и средств для эффективного обеспечения информационной безопасности в согласии с общими целями организации.

В декабре 2020 года вышла новая версия стандарта ISO/IEC 27014 «Информационная безопасность, кибербезопасность и защита личных данных - Управление информационной безопасностью». ISO/IEC 27014:2020 заменил первое издание (ISO/IEC 27014:2013) и стал важным дополнением к стандарту ISO/IEC 27001, требования которого являются основой для систем менеджмента информационной безопасности (СМИБ).

ISO/IEC 27014:2020 предоставляет руководство по концепциям, целям и процессам управления информационной безопасностью, с помощью которых можно оценивать, направлять и отслеживать связанные с информационной безопасностью процессы, коммуницировать их внутри организации.

Основные изменения ISO/IEC 27014 по сравнению с предыдущей редакцией:

  • документ приведен в соответствие с ISO/IEC 27001:2013;
  • разъяснены требования ISO/IEC 27001, относящиеся к деятельности по управлению информационной безопасностью;
  • описаны цели и процессы управления информационной безопасностью.

Все ссылки на СМИБ в данном стандарте относятся к СМИБ, основанным на ISO/IEC 27001. При этом основное внимание уделяется трем типам организаций СМИБ, однако стандарт также можно использовать другим типами организаций.

Стандарт ориентирован на:

  • органы управления и высшее руководство организаций;
  • лиц, ответственных за оценку, управление и мониторинг СМИБ, основанных на требованиях ISO/IEC 27001;
  • лиц, ответственных за управление информационной безопасностью, которая осуществляется вне сферы действия СМИБ, основанной на ISO/IEC 27001, однако находится в рамках управления организации.

Вскоре серия стандартов информационной безопасности пополнится такими новыми документами, как ISO/IEC 27002, ISO/IEC TS 27110, ISO/IEC TS 27100 и ISO/IEC 27005. Они будут посвящены методам и средствам обеспечения безопасности информационных технологий, управлению рисками в данной сфере.

В статье использованы материалы с вебсайта ISO: https://www.iso.org