Сегодня в СМИ

0

ISO 27001 и ISO 27002: в чём разница и что выбрать бизнесу в Узбекистане

ISO 27001 и ISO 27002: в чём разница и что выбрать бизнесу в Узбекистане

05.11.2025 Опубликовано в рубрике: Новости

Если вы планируете укрепить информационную безопасность компании и выйти на рынок с требованием к защите данных партнёров, вам наверняка попадались два стандарта: ISO 27001 и ISO 27002. Оба — из одного семейства, оба полезны, но роли у них разные. Разберёмся по-деловому, без академической пыли, как использовать каждый и как это влияет на внедрение ISO 27001, подготовку и аудит.

Коротко: кто за что отвечает

  • ISO/IEC 27001 — это стандарт требований. Он задаёт, что именно должно быть в вашей системе менеджмента информационной безопасности (ISMS): политика, роли, риск-менеджмент, внутренние аудиты, улучшения, а также обязательное Приложение A с контролями.

  • ISO/IEC 27002 — это руководство по практикам. Не содержит «обязательных» требований, но детально объясняет, как внедрять и настраивать контроли из Приложения A ISO 27001.

Иными словами: 27001 — «что должно быть», 27002 — «как это сделать». На сертификации проверяют соответствие 27001; 27002 используют как методичку для проектирования и доказательной базы.

Версии 2022 года: синхронизация и новые акценты

С релизом 2022 года ISO 27001 обновил Приложение A, синхронизировав его с ISO 27002:2022. Контроли сгруппированы по четырём доменам: организационные, кадровые, физические и технологические. В фокусе — управляемость и применимость к облакам, разработке и операциям. Среди практических нововведений 27002 — усиленные рекомендации по работе с угрозной разведкой (threat intelligence), безопасному использованию облачных сервисов, DLP, маскированию данных, мониторингу активности, веб-фильтрации и безопасной разработке.

Для компаний, которые обновляют систему, это означает: не просто «переписать политику», а реально подтянуть практики под риски и контекст бизнеса.

Чем 27001 отличается от 27002 на практике

Прежде чем перейти к списку, краткий контекст. В рамках подготовки к сертификации ISO 27001 аудитор не будет оценивать полноту соответствия тексту 27002. Однако без 27002 трудно обосновать, почему выбран именно такой контроль и почему он реализован именно так. Поэтому грамотные проекты в Ташкенте и регионах используют оба стандарта в паре.

  • Назначение

    • ISO 27001: устанавливает требования к ISMS и к циклу PDCA (планируй-делай-проверяй-действуй).

    • ISO 27002: даёт подробные рекомендации по внедрению и примеры мер контроля.

  • Статус на аудите

    • ISO 27001: обязательный к соответствию; по нему вы получаете сертификат.

    • ISO 27002: необязательный; служит справочником и источником доказательств зрелости.

  • Уровень детализации

    • ISO 27001: формулирует «что нужно» (требования и цели контроля).

    • ISO 27002: описывает «как сделать» (процедуры, роли, метрики, варианты реализации).

  • Гибкость и применимость

    • ISO 27001: требует обоснования применимости (Statement of Applicability).

    • ISO 27002: помогает подобрать уместные практики под ваш контекст и риски.

  • Результат для бизнеса

    • ISO 27001: даёт формальную сертификацию ISO 27001 Ташкент и признание на рынке.

    • ISO 27002: повышает реальную защищённость, снижает инциденты и затраты на их устранение.

Итог: сертифицируются по 27001, а внедряют (чтобы это работало) во многом по 27002.

Как подступиться к проекту: путь от идеи к сертификату

Для компаний Узбекистана (финансы, ритейл, девелопмент, IT-аутсорсинг) лучший подход — выстроить этапы так, чтобы сократить разрыв между «бумагами» и практикой.

  • Провести оценку контекста и рисков (активы, угрозы, владельцы процессов).

  • Сформировать Политику ИБ, роли, KPI, цикл внутренних аудитов.

  • Составить Матрицу применимости (SoA) по ISO 27001 с опорой на 27002.

  • Выбрать и адаптировать контроли (облака, разработка, DLP, доступы, логирование).

  • Наладить мониторинг, реагирование и непрерывное улучшение (PDCA).

  • Провести обучение и тесты осведомлённости для персонала.

  • Выполнить внутренний аудит и анализ со стороны руководства, закрыть несоответствия.

После этого вы готовы к внешней проверке: подготовка к сертификации ISO 27001 превращается из стресс-марафона в предсказуемую процедуру.

Частые вопросы от бизнеса в Ташкенте

  1. Нужен ли 27002 для сертификации? Формально — нет. Практически — да, если хотите, чтобы система работала, а не только проходила аудит.

  2. Сколько времени занимает внедрение ISO 27001? Зависит от масштаба и зрелости процессов: от нескольких месяцев до года при параллельной эксплуатации.

  3. Что с переходом на версии 2022? Переход завершался 31 октября 2025 года; новым проектам сразу имеет смысл строиться на 27001:2022 и 27002:2022.

Почему «Балтум Бюро»

Мы говорим на языке бизнеса и показываем измеримый эффект: снижение рисков, соответствие требованиям партнёров и быстрый проход аудита. Команда помогает построить систему так, чтобы внедрение ISO 27001 окупалось за счёт дисциплины процессов, меньшего числа инцидентов и понятной ответственности.

Посмотрите, как мы подходим к проектам и сертификации: https://iso27001.uz/

Метки записи:  
Иллюстрация к статье: Яндекс.Картинки
Самые оперативные новости экономики в нашей группе на Одноклассниках

Оставить комментарий