ISO IEC 27014-2020 (2022) PDF

Полное наименование и описание

ISO/IEC 27014:2020 — Information security, cybersecurity and privacy protection — Governance of information security. Международный стандарт, дающий руководство по концепциям, целям и процессам корпоративного управления безопасностью информации; предназначен для органов управления, высшего руководства и ответственных за оценку, направление и мониторинг систем управления информационной безопасностью (ISMS) на основе ISO/IEC 27001.

Аннотация

Документ описывает принципы и процессы управления информационной безопасностью — как оценивать, направлять, контролировать и коммуницировать вопросы информационной безопасности в организации. Фокусируется на обеспечении видимости, соответствия требованиям и поддержании безопасности в контексте стратегических целей организации; применим ко всем типам и размерам организаций.

Общая информация

• Статус: Публикован (действующий международный стандарт).
• Дата публикации: 15 декабря 2020 г.; исправленная версия (англ.) выпущена в апреле 2022 г.
• Организация-издатель: ISO/IEC (технический комитет ISO/IEC JTC 1/SC 27 — Information security, cybersecurity and privacy protection).
• ICS / категории: 35.030 — IT Security / Информационная безопасность.
• Редакция / версия: Редакция 2 (ISO/IEC 27014:2020). Предыдущая версия — ISO/IEC 27014:2013 (отозвана и заменена).
• Количество страниц: 13 (по данным ISO); в некоторых издательских вариантах указывается 15 страниц — различия зависят от формата публикации.

Область применения

Рекомендации стандарта применимы к управлению информационной безопасностью на уровне организации в целом и к сценариям, когда информационная безопасность влияет на достижение общих целей организации. Стандарт адресован органам управления, высшему руководству, ответственным за ISMS на базе ISO/IEC 27001, а также тем, кто отвечает за управление безопасностью информации вне формального ISMS, но в рамках корпоративного управления. Применим для организаций любого размера и сектора.

Ключевые темы и требования

• Понятия и принципы управления информационной безопасностью: роли, ответственность и взаимодействие между органом управления и руководством.
• Процессы управления: оценка, направление, мониторинг и коммуникация мероприятий по информационной безопасности.
• Цели управления: интегрированное покрытие безопасности по всей организации, принятие решений на основе рисков, направление закупок и инвестиций, обеспечение соответствия внутренним и внешним требованиям, формирование культуры безопасности и поддержание показателей эффективности.
• Связь с ISMS: рекомендации по взаимодействию с ISMS на основе ISO/IEC 27001 и по управлению областями безопасности, находящимися вне формального ISMS.
• Аннексы и пояснения: содержание типов организаций ISMS (Annex B) и примеры практик управления.

Применение и пользователи

Основные пользователи: члены органов управления (советы директоров), высшее руководство, руководители по информационной безопасности, владельцы бизнес‑процессов, аудиторы и консультанты по кибербезопасности и комплаенсу. Стандарт полезен при формировании корпоративной политики, стратегий управления рисками и при оценке эффективности мер информационной безопасности. Применим в коммерческих компаниях, государственных организациях и некоммерческих структурах.

Связанные стандарты

ISO/IEC 27014 логически связана с другими документами серии ISO/IEC 27000, в частности с ISO/IEC 27001 (требования к ISMS), ISO/IEC 27002 (управление средствами защиты), а также с руководящими документами и техническими отчетами серии (например, ISO/IEC 27007, ISO/IEC 27009, ISO/IEC TR 27015, ISO/IEC 27018) в части процедур аудита, применения требований и защиты персональных данных. Для практического применения часто рассматривается в пакетах вместе с другими стандартами серии.

Ключевые слова

управление информационной безопасностью; governance; ISMS; информационная безопасность; кибербезопасность; конфиденциальность; орган управления; высшее руководство; риск‑ориентированное принятие решений.

FAQ

В: Что это за стандарт?

О: Международный руководящий стандарт по управлению (governance) информационной безопасностью в организации — ISO/IEC 27014:2020. Он определяет концепции, цели и процессы, которые помогают органам управления и руководству обеспечивать, что информационная безопасность поддерживает достижение организационных целей.

В: Что он регулирует?

О: Стандарт не вводит обязательных технических требований; это руководство по корпоративному управлению вопросами информационной безопасности: оценка, направление, мониторинг и коммуникация. Он устанавливает рамки принятия решений, распределения ответственности и контроля исполнения политики безопасности.

В: Кто обычно использует?

О: Члены советов директоров и руководители высшего звена, руководители по информационной безопасности, владельцы процессов, внутренние и внешние аудиторы, консультанты по управлению рисками и соответствию. Также полезен для регуляторов и организаций, внедряющих ISMS по ISO/IEC 27001.

В: Он актуален или заменён?

О: Версия 2020 является действующей редакцией (редакция 2); предыдущая редакция 2013 была отозвана и заменена. В 2022 выпущена исправленная англоязычная версия. Как и все международные стандарты, ISO/IEC 27014 подлежит периодическому пересмотру (обычно каждые 5 лет).

В: Это часть серии?

О: Да — ISO/IEC 27014 входит в семью и более широкую серию ISO/IEC 27000, объединяющую стандарты по ISMS, управлению средствами защиты, аудитам и специальным темам (конфиденциальность, облачная безопасность и пр.). Часто применяется совместно с ISO/IEC 27001, 27002, 27007 и др.

В: Какие ключевые слова?

О: governance, управление информационной безопасностью, ISMS, кибербезопасность, конфиденциальность, риск‑менеджмент, орган управления, соответствие.