Переход на ISO/IEC 27001:2022 часто воспринимают как обновить пару документов и готово. На практике это больше похоже на замену навигатора в машине: само устройство новое, но маршрут, привычки водителя и правила движения остаются решающими. Ниже — ошибки, которые чаще всего тормозят компании из Казахстана и Узбекистана, и способы пройти переход без лишних затрат и нервов.
Ошибка 1. Начать с переписывания политик, а не с GAP-анализа
Версия 2022 изменила структуру и логику контролей (Приложение A), поэтому «копипаст» из 2013 почти всегда приводит к несоответствиям.
Как избежать: сделайте GAP-анализ: что реально работает в процессах, что нужно обновить, а что — внедрить с нуля. Затем составьте план перехода с ответственными и сроками.
Ошибка 2. Формальный SoA (Statement of Applicability)
SoA — не приложение «для аудитора», а карта ваших решений: какие меры применимы, какие нет и почему. Формальный SoA быстро ловит вопросы на сертификационном аудите.
Как избежать: привяжите каждый контроль к рискам, активам и процессам. Если контроль не применим — обоснуйте это так, чтобы понял не только ваш ИБ-специалист, но и внешний аудитор.
Ошибка 3. Слабая оценка рисков и размытые критерии
Риск-менеджмент часто делают «для галочки»: нет шкал, владельцев рисков, сроков обработки и понятного аппетита к риску.
Как избежать: зафиксируйте критерии (вероятность/ущерб), назначьте владельцев рисков, договоритесь на уровне руководства, какие риски компания принимает, а какие — снижает.
Ошибка 4. Считать ISO 27001 «проектом ИТ»
Информационная безопасность — это не только серверы и антивирус. В реальных инцидентах обычно участвуют люди, подрядчики и процессы.
Как избежать: подключайте HR, юристов, закупки, владельцев бизнес-процессов и работу с поставщиками (особенно если есть аутсорсинг, облака, колл-центры, разработка).
Ошибка 5. Документы есть, доказательств нет
Политика написана идеально, а журналов, протоколов, записей обучения и тестов восстановления — нет. Аудиторы смотрят не на красоту текста, а на факты выполнения.
Как избежать: заранее соберите «папку доказательств»: логи, отчёты, результаты внутренних проверок, записи по инцидентам, доступам, резервному копированию.
Ошибка 6. Неправильный расчёт бюджета и сроков
Вопросы вроде ISO 27001 сертификат цена Казахстан или стоимость сертификации ISO 27001 упираются не только в тариф органа сертификации. На итог влияют готовность процессов, количество площадок, область сертификации, необходимость донастроек и обучения.
Как избежать: заложите бюджет на внедрение, внутренний аудит, корректирующие действия и подготовку доказательств. Если нужен ISO 27001 консалтинг, выбирайте тех, кто помогает выстроить систему, а не «продаёт папку документов».
Мини-чеклист для спокойного перехода на 27001:2022
Чтобы не бегать в последний момент, держите простой план в голове (и в календаре). Вот базовый набор шагов:
-
провести GAP-анализ и обновить область СУИБ;
-
пересобрать SoA под 2022 и привязать меры к рискам;
-
обновить оценку рисков и план обработки рисков;
-
обучить ключевых сотрудников и закрепить роли/ответственность;
-
выполнить внутренний аудит и анализ со стороны руководства;
-
подготовить доказательства выполнения контролей и пройти сертификационный аудит.
После этого переход становится управляемым проектом, а не «пожаром» перед аудитом.
Что делать дальше
Если хотите посмотреть требования и логику перехода в одном месте, ориентир — страница: https://isocerthub.com/iso-iec-270012022/. А если нужна практическая помощь (от GAP до подготовки к аудиту), эксперты «Систем Менеджмент» в Казахстане обычно подключаются так, чтобы у вас осталась рабочая система, а не просто сертификат на стене.
