Опубліковано нову версію стандарту з інформаційної безпеки – ISO/IEC 27014:2020

Опубліковано нову версію стандарту з інформаційної безпеки – ISO/IEC 27014:2020

Забезпечення інформаційної безпеки є ключовим завданням для організацій, здійснити яке стає все складніше через швидкий розвиток методологій і технологій кібератак і, як наслідок, зростаючого тиску з боку нормативних органів.

Під управлінням інформаційною безпекою в рамках організації передбачається використання ресурсів та засобів для ефективного забезпечення інформаційної безпеки у згоді із спільними цілями організації.

У грудні 2020 року вийшла нова версія стандарту ISO/IEC 27014 «Інформаційна безпека, кібербезпека та захист особистих даних - Управління інформаційною безпекою». ISO/IEC 27014:2020 замінив перше видання (ISO/IEC 27014:2013) та став важливим доповненням до стандарту ISO/IEC 27001, вимоги якого є основою для систем менеджменту інформаційної безпеки (СМІБ).

ISO/IEC 27014:2020 надає посібник з концепцій, цілей та процесів управління інформаційною безпекою, за допомогою яких можна оцінювати, спрямовувати та відстежувати пов'язані з інформаційною безпекою процеси, комунікувати їх усередині організації.

Основні зміни ISO/IEC 27014 порівняно з попередньою редакцією:

  • документ приведений у відповідність до ISO/IEC 27001:2013;
  • роз'яснено вимоги ISO/IEC 27001, які стосуються діяльності з управління інформаційною безпекою;
  • описано цілі та процеси управління інформаційною безпекою.

Всі посилання на СМІБ у цьому стандарті відносяться до СМІБ, заснованих на ISO/IEC 27001. При цьому основна увага приділяється трьома типами організацій СМІБ, проте стандарт також можна використовувати іншим типом організацій.

Стандарт орієнтований на:

  • органи управління та вище керівництво організацій;
  • осіб, відповідальних за оцінку, управління та моніторинг СМІБ, заснованих на вимогах ISO/IEC 27001;
  • осіб, відповідальних за управління інформаційною безпекою, що здійснюється поза сферою дії СМІБ, заснованої на ISO/IEC 27001, проте знаходиться в рамках управління організації.

Незабаром серія стандартів інформаційної безпеки поповниться такими новими документами, як ISO/IEC 27002, ISO/IEC TS 27110, ISO/IEC TS 27100 та ISO/IEC 27005. Вони будуть присвячені методам та засобам забезпечення безпеки інформаційних технологій, управління ризиками у цій сфері.

У статті використані матеріали з вебсайту ISO: https://www.iso.org