ISO/IEC 27001 — это «правила дорожного движения» для управления информационной безопасностью: кто за что отвечает, какие риски учитываем и какие меры ставим, чтобы данные не улетали в самый неподходящий момент. В версии 2022 года стандарт стал ближе к практикам облака, DevOps и постоянного мониторинга — и именно поэтому многим компаниям в Казахстане, Узбекистане, Грузии и Кыргызстане важно понимать отличия перед аудитом.
Ключевые изменения в требованиях
Изменения в главах 4–10 не выглядят революцией, но они ощутимо влияют на подготовку к сертификации. Обновления точнее описывают управление изменениями, измеримость целей и «встраивание» ИБ в операционную деятельность.
Вот что чаще всего замечают на внедрении и внутреннем аудите:
-
Больше внимания контексту и заинтересованным сторонам: проще привязать ИБ к требованиям клиентов, регуляторов и контрактов.
-
Яснее про планирование изменений (не только внедрили — но и управляем изменениями в ISMS).
-
Сильнее акцент на измеримые цели ИБ: не «улучшаем безопасность», а задаём метрики и критерии.
-
Точнее формулировки про операционное управление: безопасность становится частью процессов, а не «папкой с политиками».
После такого обновления ISMS меньше похожа на бюрократию и больше — на систему управления, которая действительно работает.
Annex A: было 114 контролей, стало 93 — и новая логика группировки
Самая заметная разница — в контролях (Annex A). В 2013 их было 114, в 2022 стало 93: часть объединили, часть обновили, и добавили новые, отвечающие реальности (облака, утечки, код).
Теперь контроли сгруппированы в 4 блока:
-
Организационные,
-
Люди,
-
Физические,
-
Технологические.
11 новых контролей, которые «попадают в боль бизнеса»
В 2022 появились, среди прочих: threat intelligence, безопасность облачных сервисов, готовность ИКТ к непрерывности, конфигурационное управление, безопасное удаление информации, data masking, DLP (предотвращение утечек), мониторинг, web-фильтрация, secure coding. Если у вас SaaS, разработка или распределённая команда — эти пункты почти гарантированно окажутся в фокусе аудитора.
Statement of Applicability: меньше формальности, больше ответственности
SoA (Заявление о применимости) в 2022-м — это не «табличка для галочки», а документ, где ожидают увидеть:
-
какие контроли выбраны (из Annex A и при необходимости дополнительные),
-
почему выбраны/исключены,
-
статус внедрения и связку с рисками.
Что это значит для бизнеса в регионе
Если вам нужна ISO 27001 сертификация в Казахстане, переход на 2022 обычно требует не «переписать всё», а пересобрать SoA, обновить риск-подход и закрыть новые технологические ожидания (облако, мониторинг, DLP, secure coding). Для тех, кто планирует ISO 27001 2022 получить сертификат, быстрее всего работает формат диагностического gap-анализа → план работ → подготовка к сертификационному аудиту.
Компания в СНГ «Систем Менеджмент» часто помогает компаниям пройти этот путь как внедрение ISO 27001 под ключ — с понятной дорожной картой, без перегруза документами и с акцентом на реальную управляемость рисков.
Куда двигаться дальше
Если вы готовитесь к переходу или старту проекта, посмотрите описание требований и подхода к внедрению здесь: ISO/IEC 27001:2022. Это хороший ориентир, чтобы сравнить текущую систему с ожиданиями версии 2022 и заранее убрать «сюрпризы» на аудите.