Промени в стандарта ISO 27001 дават възможност за непрекъснати подобрения в управлението на сигурността на информацията. Новият ISO 27001:2013 заменя ISO/IEC 27005:2005, който вече не е водещият стандарт след тези промени.
„Новият ISO 27001 определя изискванията за създаване, внедряване, поддръжка и непрекъснато подобряване на ефикасна система за управление на сигурността на информацията (СУСИ). Две са съществените промени в този стандарт: едната засяга структурата на най-високо ниво, а втората е за управлението на риска”, обясни Огнян Дренски, член на борда на директорите на асоциация „Телекомуникации”, в лекция на форума IDC Security Roadshow 2015 тази седмица в София.
Едно от новите изисквания към структурата на най-високо ниво се отнася до терминологията – отпада терминът „превантивни действия”. Освен това вече се говори за „заинтересовани страни” (interested parties вместо за stakeholders). Въвежда се и терминът „лидерство”, а не се говори за „мениджър”. Това е ново изискване към висшето ръководство в сферата на информационната сигурност. Изрично се изискват и нови канали за комуникация, уточни Дренски.
„Що се отнася до оценката на риска, новите промени и идеи се отнасят до плана за въздействие върху риска. Подобен план вече се изготвя според изискванията на собственика на риска. Въвежда се и ново понятие – оценка на работната характеристика”, обясни Дренски. Тъй като управлението на риска вече се извърша по ISO 31000, а не по ISO 27005, една методология за оценка на риска ще може да се използва в различни области.
Огнян Дренски призова за внимателен прочит на новите стандарти, за да може концепциите да се осмислят, а нещата да се правят икономично. Крайният срок за сертифициращите организации, които трябва да направят актуализация на акредитациите си, е 1-ви октомври 2015 г. Препоръката на Дренски е да се купуват версии след 27001, а новите СУСИ да се разработват по ISO 27001:2013.