Документирана информация изисквана от ISO/IEC 27001:2022

За да се осигури съответствие с изискванията на ISO/IEC 27001:2022 е необходимо организацията да разполага с документирана информация изисквана от стандарта. В таблицата по-долу са представени клаузите от стандарта, които изискват наличието на документирана информация.

Задължителна документирана информация

Клауза от ISO/IEC 27001:2022 Документирана информация
4.3 Обхват на СУСИ
5.2 Политика по сигурност на информацията
6.1.2 Процес на оценяване на риска – Методология за оценяване на риска
6.1.3 Процес на третиране на риска – Методология за третиране на риска, Декларация за приложимост, План за третиране на риска
6.2 Цели на сигурността на информацията
7.2 Доказателства за компетентност
8.2 Резултати от оценяването на риска
8.3 Резултати от третирането на риска
9.1 Резултати от наблюдението, измерването и анализа
9.2.2 Програма за одити и  резултати от одити
9.3.3 Резултати от преглед от ръководството
10.2 Несъответствия и за резултатите от коригиращите действия
А.5.9* Опис на активите(Inventory of information and other associated assets)
А.5.10* Описание на правилата за работа с активите (Acceptable use of information and other associated assets)
A.5.26* Описание на правилата за действие при инциденти (Response to information security incidents)
А.5.31* Описание на приложими законови и договорни изисквания(Legal, statutory, regulatory and contractual requirements)
А.5.37* Документиране на политиките за сигурност (Documented operating procedures)
А.6.2*, А.6.6* Роли, отговорности, споразумения с перонала (Terms and conditions of employment; Confidentiality or non-disclosure agreements)
А.8.9* Документиране на конфигурацията – хардуер, софтуер, услуги и мрежи (Configuration management)
А.8.15* Записи от дейности, грешки и други събития (Logging)
А.8.27* Документиране на принципите за проектиране на сигурни системи (Secure system architecture and engineering principles)

* Документираната информация, изисквана от механизмите за контрол в приложение А, е задължителна само ако са определени рискове или изисквания, които да налагат тяхното прилагане.

Незадължителна документирана информация

Съществува документирана информация, която не се изисква като задължителна от ISO/IEC 27001:2022, но практиката показва, че е полезна и че често се използва от организациите:

  • процедура за управление на документирана информация(т.7.5);
  • процедура за провеждане на вътрешен одит(т.9.2);
  • процедура за коригиращи действия(т.10.2);
  • политика за класифициране на информацията(А.5.12, А.5.13);
  • политика за обмен на информация(А.5.14);
  • политика за контрол на достъпа(А.5.15);
  • политика за ваимоотношения с доставчици(А.5.19, А.5.21, А.5.22, А.5.23);
  • политика за непракъснатост на сигурността на информацията(А.5.29, А.5.30, А.8.14);
  • политика за работа от разстояние(А.6.7, А.7.8, А.7.9, А.8.1);
  • политика за чисто бюро и чист екран(А.7.7);
  • политика за работа с носители(А.7.10, А.7.14, А.8.10);
  • политика за резервиране на информация(А.8.13) и др.

Нови механизми за контрол

С новото издание на ISO/IEC 27001:2022 се въвеждат 11 нови механизми за контрол, за които не е необходимо създаването на допълнителни оперативни политики за сигурност. Информацията по всеки един механизъм за контрол може да се документира като се добави към съществуващите политики. Повече информация за новите механизми за контрол и документирането на информацията, свързана с тяхното прилагане, можете да научите от статията: 11 нови механизми за контрол в ISO/IEC 27001:2022.

 

Източник на изображението

0 отговори на "Документирана информация изисквана от ISO/IEC 27001:2022"

Публикувай коментар

Вашият имейл адрес няма да бъде публикуван.

© Качеството ЕООД. Всички права запазени

Изработка на уеб сайт от Vipe Studio