2022 по сравнению с редакцией 2013 года

ISO 27001: важнейший мировой стандарт информационной безопасности

ISO 27001 – это ведущий мировой стандарт информационной безопасности, который включает в себя требования для создания системы менеджмента информационной безопасности (СМИБ).

В конце 2022 года Международная организация по стандартизации опубликовала новую версию стандарта ISO/IEC 27001:2022. Основные изменения включают группировку и переименование пунктов приложения А, а также добавление новых элементов.

Основные изменения в ISO/IEC 27001

Изменения в пунктах 4-10

Пункт 4.2 – Понимание потребностей и ожиданий заинтересованных сторон

Появился новый подпункт, требующий анализа требований заинтересованных сторон, которые будут удовлетворяться посредством СМИБ.

Пункт 4.4 – Система управления информационной безопасностью

Добавлена новая формулировка, требующая, чтобы СМИБ включала в себя процессы, лежащие в основе СМИБ.

Пункт 6.2 – Цели информационной безопасности и планирование их достижения

Включает дополнительные рекомендации по целям информационной безопасности, обеспечивая большую ясность в отношении контроля и документирования целей.

Пункт 6.3 – Планирование изменений

Добавлен для установления стандартов планирования изменений в СМИБ.

Пункт 8.1 – Оперативное планирование и контроль

Появилось дополнительное руководство по оперативному планированию и контролю.

Дополнительные незначительные изменения включают в себя:

• Пункт 5.3 – Организационные роли, обязанности и полномочия
• Пункт 7.4 – Коммуникация
• Пункт 9.2 – Внутренний аудит
• Пункт 9.3 – Анализ со стороны руководства
• Пункт 10 – Улучшение

Изменения в структуре управления Приложения А

В ISO 27001:2022 произошли структурные изменения в элементах управления Приложения А. Новые элементы управления размещены в четырех темах, включая:

• A.5.7 – Аналитика угроз

Этот элемент управления требует от организаций сбора и анализа информации об угрозах для принятия мер по снижению рисков.

A.5.23 Информационная безопасность для использования облачных служб.

Элемент подчеркивает необходимость повышения информационной безопасности в облаке и требует установления стандартов безопасности для облачных служб и наличия процессов и процедур специально для облачных служб.

A.5.30 Готовность ИКТ к непрерывности бизнеса.

Этот элемент требует обеспечения возможности восстановления/использования информационных и коммуникационных технологий в случае сбоев.

A.7.4 Мониторинг физической безопасности.

Здесь говорится о том, что организации должны контролировать чувствительные физические области (центры обработки данных, производственные объекты и т. д.), чтобы обеспечить доступ к ним только авторизованных людей, чтобы организация была осведомлена в случае нарушения.

A.8.9 Управление конфигурацией.

Этот элемент о том, чтобы организация управляла конфигурацией своей технологии, чтобы обеспечить ее безопасность и избежать несанкционированных изменений.

A.8.10 Удаление информации.

Здесь требуется удаления данных, когда они больше не требуются, чтобы избежать утечки конфиденциальной информации и соблюдать требования конфиденциальности.

A.8.11 Маскирование данных.

Этот элемент управления требует, чтобы организации использовали маскирование данных в соответствии с политикой управления доступом организации для защиты конфиденциальной информации.

A.8.12 Предотвращение утечки данных.

Элемент требует от организаций реализации мер по предотвращению утечки данных и раскрытия конфиденциальной информации из систем, сетей и других устройств.

A.8.16 Мониторинг действий.

Здесь говорится о мониторинге систем на предмет необычных действий и внедрения соответствующих процедур реагирования на инциденты.

A.8.23 Веб-фильтрация.

Этот элемент управления требует, чтобы организации управляли доступом пользователей к веб-сайтам для защиты IT-систем.

A.8.28 Безопасное кодирование.

Этот элемент о том, что принципы безопасного кодирования должны быть установлены в рамках процесса разработки программного обеспечения организации, чтобы уменьшить уязвимости безопасности.

Képzéseink segítenek Önnek, hogy kollégái tudásának folyamatos fejlesztésével a lehető leghatékonyabban és legkevesebb veszteséggel működtesse vállalatát.

A jól elsajátított és alkalmazott autóipari technikák hozzájárulnak, hogy megfeleljen a legkülönbözőbb autóipari beszállítói előírásoknak és elvárásoknak.

Auditálási ismeretek és technikák gyakorlati képzés / ISO 9001 – IATF 16949 – VDA 6.3 szerint

Основы внутренних и поставщиков аудиторов IATF 16949 – практика

Цель обучения: практическое применение стандартов IATF 16949:2016, ISO 9001:2015 и ISO 19011:2018 в отношении аудита систем управления. Создание списков вопросов, удовлетворяющих требованиям, определенным для отдельных организационных единиц, на основе процессного и рискового подходов. Во время обучения мы рассмотрим весь процесс аудита, начиная с разработки аудиторской программы, плана аудита, открытия встречи, аудиторских методик, заканчивая заключительной встречей и завершением плана действий аудита.

Металлографическое обучение

Решили ли вы когда-либо сталкиваться с разрушением или трещинами металлической детали или компонента из-за материальной ошибки или усталости материала при предназначенном использовании? Приходилось ли вам вести неприятную дискуссию с клиентом из-за несоответствия материального качества металлического компонента продукта или несоответствия заявленных вами клиенту качественных характеристик? Создавали ли вам головную боль решение, достаточно ли убедительные данные и информация о материале, предоставленные вашим поставщиком, чтобы доверять соответствующей детали или компоненту из металла, которые должны выдерживать нагрузку, обладать эластичностью и другие характеристики, соответствующие материальным факторам? Если вы даже ответили да хотя бы на один из вышеупомянутых вопросов, то у вас, безусловно, возникли и другие вопросы, такие как: – Существуют ли методы материального исследования, с помощью которых можно определить соответствие материального компонента или детали из металла качественным требованиям? – Есть ли способ проверить структуру конкретной металлической детали без механического воздействия, и если да, то что мы можем узнать из этих проверок? – Что можно узнать с помощью неразрушающих и разрушающих методов исследования? – Как эти проверки могут помочь обеспечить качество материала, какие затраты времени и денег при этом понадобятся? Наш трехдневный курс, включающий как теоретические, так и практические элементы, предназначен в первую очередь для специалистов, работающих в области обеспечения качества, обеспечения качества поставщиков, закупок и разработки продукции, не обладающих знаниями в области материального испытания. Курс поможет им получить знания, которые помогут рассмотреть и, при необходимости, дополнить свои процессы обеспечения качества с использованием методов материального исследования.

ISO/IEC 27001 для операторов Light IT – Практическая безопасность данных и информации

Gyakorlati ismeretek átadása az adat- és információbiztonság területén az ISO/IEC 27001:2022-es szabvány nézőpontján, kontrolpontjain keresztül. A képzés során gyakorlati példákon, esettanulmányokon keresztül rávilágítunk azokra a tevékenységekre és rendszerelemekre, melyekkel résztevevőink képesek lesznek olyan IT támogatást biztosítani, hogy a rendszerük megfeleljen a kihívásoknak. Meg tudjanak előzni vagy fel tudjanak készülni az esetleges incidensek kezelésére, azok kivizsgálására. A képzés eszközöket és lehetőségeket mutat az üzemeltetők számára, hogy a követelmények között megjelenő kontrolpontoknak meg tudjanak felelni, azokra megfelelő módon reagálni tudjanak. Képesek legyenek támogató, kiszolgáló IT eszközt találni és üzemeltetni az információbiztonság hatékonysága érdekében. A dokumentációs rendszer (nyilvántartások) vezetésére teszünk ajánlásokat, melyből gyorsan és pontosan lehet a vezetők részére válaszokat adni.

ISO/IEC 27001 Light Vezetőknek – Adat- és információbiztonság gyakorlatiasan

Gyakorlati ismeretek átadása az adat- és információbiztonság területén az ISO/IEC 27000-es szabványcsalád nézőpontján keresztül. A képzés során gyakorlati példákon, esettanulmányokon keresztül rávilágítunk azokra a tevékenységekre, melyek fontosak a cégvezetők, IT vezetők számára ahhoz, hogy a szervezet adatait és információit biztonságban tudják tartani. Meg tudják előzni vagy fel tudjanak készülni esetleges incidensek kezelésére. A képzés irányokat mutat a vezetők számára, hogy milyen támogatást kell biztosítani az IT üzemeltetőknek, az elvárások és kihívások mélységétől függően. Kapcsolódó képzés, haladó szint: kepzes.iws.hu/kepzes/iso-iec-27001-light-adat-es-informaciobiztonsag-gyakorlatiasan-it-uzemeltetoknek/

Koordináta-mérőgép kezelő szakember – haladó képzés

A képzés célja: Haladó ismeretek átadása az ipari – mérőszobai koordináta méréstechnikával kapcsolatban méréstechnikusok számára. A képzés során az alak- és helyzettűrések, mérési tervek átvétele, felülvizsgálata és fejlesztése mellett a programozási és a mérési tevékenység mélyebb megértése és folyamatos fejlesztési igényének kialakítása a cél, a mindennapi 3D méréstechnikai tevékenységek alapjaira épülő speciális tudás átadásával. Kapcsolódó képzés, 1 szint, alap képzés: Koordináta-mérőgép kezelő szakember – alap képzés

Koordináta-mérőgép kezelő szakember – alap képzés

A képzés célja: Az alapvető ismeretek átadása az ipari – mérőszobai koordináta méréstechnikával kapcsolatban kezdő és haladó méréstechnikusok számára. A mindennapi 3D méréstechnikai tevékenységek alapjainak a használati elveire helyezve a hangsúlyt. A képzés során a mérés alapjai mellett a mérettűrések, a méréssorrend tervezés, valamint a méréseink során megjelenő bizonytalanságok alapjaiba vezetjük be a résztvevőket. Kapcsolódó képzés, 2. szint, haladó képzés: Koordináta-mérőgép kezelő szakember – haladó képzés

ISO/IEC 27001 információbiztonsági irányítási rendszer ismeretek + TISAX

Képzésünk során már az új szabvány szerint (ISO/IEC 27001:2022) oktatjuk az információbiztonsági irányítási rendszer kialakítását, irányítását, fejlesztését és képviseletét. Az oktatás során tájékoztatjuk résztvevőinket az információvédelem jelentőségéről és tudatosítjuk annak veszélyeit a vállalatok életében. A szabvány ismertetése kiegészül egy napban a TISAX (Trusted Information Security Assessment EXchange) szabvány ismertetésével, amelyet kifejezetten a bizalom megteremtésére fejlesztettek ki az autóiparban. A TISAX sajátos értékelőrendszeren alapul, amelyet a Német Autóipari Szövetség(VDA) az ENX Szövetséggel közösen dolgozott ki. A kérdőív az ISO 27001 szabványon alapul, így a TISAX különösen az autóipari beszállítókat célozza meg. A képzés elméleti ismereteket nyújt a TISAX regisztráció, önértékelés és audit követelményrendszeréről. A cél, hogy a képzés során résztvevőink megismerjék és munkájuk során hatékonyan használni tudják a TISAX előírásait és ezen megszerzett tudás segítségével folyamatosan megtudjanak felelni a vevői követelményeknek.

TISAX (Trusted Information Security Assessment Exchange)

A TISAX a Trusted Information Security Assessment EXchange rövidítése, amelyet kifejezetten a bizalom megteremtésére fejlesztettek ki az autóiparban. A TISAX sajátos értékelőrendszeren alapul, amelyet a Német Autóipari Szövetség(VDA) az ENX Szövetséggel közösen dolgozott ki. A kérdőív az ISO 27001 szabványon alapul, így a TISAX különösen az autóipari beszállítókat célozza meg. A képzés elméleti ismereteket nyújt a TISAX regisztráció, önértékelés és audit követelményrendszeréről. A cél, hogy a képzés során résztvevőink megismerjék és munkájuk során hatékonyan használni tudják a TISAX előírásait és ezen megszerzett tudás segítségével folyamatosan megtudjanak felelni a vevői követelményeknek.

Mérőrendszer elemzés – MSA tréning

A képzés célja, hogy

Javasolt a képzés előtt a Statisztikai folyamatszabályozás (SPC) ismeretek megszerzése, amely nagyban könnyíti a módszer megértését és készség szintű elsajátítását.

Autóipari minőségügyi követelmények – alapoktatás, e-learning képzés

A képzés résztvevői átfogó tájékoztatást kapnak a minőségbiztosítási szemléletéről, valamint azokról a szabványosított eszközökről, melyeknek célja a kiváló minőségben történő fejlesztés, termelés és vevőkiszolgálás.

VDA 6.3 upgrade képzés

A képzés elméleti és gyakorlati ismereteket nyújt a 2023 januárjában megjelent VDA 6.3 szabvány követelményeiről, a szabvány felépítéséről, követelményeiről, az új- és szabvány alkotók által változatlanul hagyott pontokról. A képzés célja: Megismerkedni a VDA 6.3:2023 szerkezetével, változásaival és a változások mögött lévő szakmai tartalommal. A cél, hogy a képzés során hallgatóink megismerjék és munkájuk során hatékonyan használni tudják a VDA 6.3:2023 megújuló előírásait és ezen megszerzett tudás segítségével folyamatosan meg tudjanak felelni a vevői követelményeknek.

Что делать с ISO/IEC 27001

Подводя итоги, можно сказать, что изменения в основной части стандарта небольшие и могут быть воспроизведены достаточно быстро. Изменения в Приложении А – умеренные, и их, в целом, можно устранить, добавив новые средства управления в уже существующую документацию.

Сертификация по ISO 27001:2013 всё ещё разрешена до 30 апреля 2024 года. Однако, любая компания, сертифицированная в настоящее время по стандарту, должна будет перейти на новую версию до 31 октября 2025 года.

Обеспечьте надёжную информационную безопасность своей компании вместе с Изи Штандарт. Мы поможем на всех этапах получения сертификата. Вкладывайте в будущее уже сейчас!