Во 2 квартале 2022 года 34-м техническим комитетом совместно с CASCO был реализован проект по переходу от технической спецификации ISO/TS 22003:2013 «Системы менеджмента безопасности пищевых продуктов - Требования к органам, проводящим аудит и сертификацию систем менеджмента безопасности пищевых продуктов» к двум частям нового международного стандарта. Как было ранее освещено в нашей публикации ISO 22003-1:2022 «Безопасность пищевых продуктов. - Часть 1. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента безопасности пищевых продуктов» и ISO 22003-2:2022 «Безопасность пищевых продуктов. - Часть 2. Требования к органам, обеспечивающим оценку и сертификацию продуктов, процессов и услуг, включая аудит системы менеджмента безопасности пищевых продуктов» дополняют требования ISO/IEC 17021-1 «Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования», ISO/IEC 17065 «Оценка соответствия. Требования к органам по сертификации продукции, процессов и услуг» и ISO/IEC 17020 «Оценка соответствия. Требования к работе различных типов органов инспекции», что обеспечивает гармонизацию и согласованность требований, улучшает процесс оценки соответствия систем менеджмента, построенных на основе требований ISO 22000 и прочих схем сертификации СМ, процессов, продукции и услуг и, соответственно, безопасность пищевых продуктов. Эти документы содержат критерии, которые могут быть использованы регулирующими органами и отраслевыми консорциумами при аккредитации или экспертной оценке органов по сертификации и оценке соответствия СМ безопасности пищевой продукции и их элементов (процессов, продукции и услуг). В октябре 2022 года объединенным техническим комитетом ISO/IEC JTC 1 «Информационные технологии» подкомитетом ISO/IEC JTC 1/SC 27 «Информационная безопасность, кибербезопасность и защита конфиденциальности» опубликована новая версия международного стандарта ISO/IEC 27001:2022 «Информационная безопасность, кибербезопасность и защита конфиденциальности. - Системы управления информационной безопасностью. – Требования». Это третье издание заменяет второе издание ISO/IEC 27001:2013, которое было технически пересмотрено. Как обычно, предусмотрен трехлетний переход сертифицированных организаций на новую версию стандарта. По мнению экспертов Международной организации по стандартизации обновленный стандарт поможет организациям защищать свои информационные активы, а также принесет организациям пользу в вопросах:

• защиты информации во всех формах, включая бумажные, облачные и цифровые данные;
• повышения устойчивости к кибератакам;
• обеспечения функционирования централизованно управляемой структуры, которая защищает всю информацию в одном месте;
• обеспечения защиты всей организации, в том числе от технологических рисков и других угроз;
• реагирования на меняющиеся угрозы безопасности;
• сокращения затрат и расходов на неэффективные оборонные технологии;
• защиты целостности, конфиденциальности и доступности данных.

Система менеджмента информационной безопасности (СМИБ) сохраняет конфиденциальность и доступность информации, применяя процесс управления рисками, демонстрирует заинтересованным сторонам и клиентам приверженность организации надежному и безопасному управлению информацией, а также уверенность в том, что риски адекватно управляются. Целостный подход к построению СМИБ согласно требованиям ISO/IEC 27001:2022 позволит охватить всю организацию (людей, технологии, процессы и пр.), а не только IТ. Версия ISO/IEC 27001:2022 использует так называемую «структуру высоко уровня». Это общая структура, основной текст и определения, удобные для интеграции с другими системами менеджмента. Кроме того, стандарт гармонизирован с новой версией ISO/IEC 27002:2022 «Информационная безопасность, кибербезопасность и защита конфиденциальности — Средства контроля информационной безопасности». Напомним, что в ISO/IEC 27002:2022 подробно рассмотрены средства контроля для обеспечения информационной безопасности, упомянутые в Приложении А ISO 27001. Некоторые из средств контроля в этом документе являются элементами управления, которые изменяют риск, в то время как другие поддерживают риск на приемлемом уровне. В свою очередь основные изменения ISO/IEC 27002:2022 следующие:

• изменено название;
• устранены неточности и неработающие гиперссылки;
• изменена структура документа, в котором средства контроля представлены с помощью простой совокупности принципов и правил их классификации (таксономии) и связанных с ними 5-ти атрибутов (типа контроля; свойств, присущих информационной безопасности организации; концепции кибербезопасности; операционных возможностей и доменов безопасности);
• некоторые средства контроля были объединены, некоторые удалены и введено несколько новых (было 114, а теперь - 93). Соответствие между ISO/IEC 27002:2022 и ISO/IEC 27002:2013 можно найти в Приложении B. Следует отметить, что ISO/IEC 27002 не предназначен для сертификации, в отличие от ISO 27001, поэтому его новая версия вступила в силу с момента опубликования.

По материалам сайта https://www.iso.org