Що таке Навчання з обізнаності ISO 27001

Annex A 6.3 — це контроль ISO 27001:2022 під назвою «Information security awareness, education and training». Він вимагає від організації планувати, встановлювати, впроваджувати й підтримувати програму обізнаності, освіти та навчання для всіх співробітників і регулярно оновлювати її відповідно до політики інформаційної безпеки та релевантних топікальних політик.

Він замінює контроль A.7.2.2 стандарту 2013 року, що знаходився в домені Human Resource Security. Контроль 2022 року розташований у темі People controls і піднімає операційну програму з абзацу в HR security до іменованого, окремо аудитованого контролю Annex A.

Так, у трьох місцях. Clause 7.3 (Awareness) вимагає, щоб кожна особа, яка виконує роботу під контролем організації, була обізнана з політикою інформаційної безпеки, своїм внеском у ефективність ISMS та наслідками невідповідності. Clause 7.2 (Competence) вимагає задокументованої компетентності для ролей, чия робота впливає на показники інформаційної безпеки. Annex A 6.3 — операційний контроль, що доставляє обидва.

Аудитор перевірить, що програма існує, що вона покриває людей у межах скоупу ISMS (включно з підрядниками й третіми сторонами, які мають облікові записи), та що зберігаються докази на рівні кожного співробітника. Відсутність будь-якого з трьох відкриває знахідку невідповідності.

Стандарт не приписує фіксованої каденції. Текст контролю в A.6.3 каже, що програма має оновлюватися «регулярно», що аудитори інтерпретують у світлі політики інформаційної безпеки, ландшафту загроз і топікальних політик, на які посилається SoA. На практиці сертифікаційні органи очікують щонайменше щорічного оновлення для всього персоналу плюс event-driven оновлень, коли нова загроза чи зміна політики робить наявний контент застарілим.

Найкращі програми працюють безперервно, з щомісячними рольовими вправами та квартальними кампаніями для всього персоналу. Безперервна модель виробляє свіжіші докази для кожного наглядового аудиту і знижує ризик невідповідності за клозом «оновлюватися регулярно».

Аудитори роблять вибірку доказів на рівні співробітника. Стандартний пакет містить план програми обізнаності, рольову матрицю призначень, підписані підтвердження політики, записи завершення на рівні співробітника (імʼя, модуль, дата, оцінка), результати фішингових симуляцій, артефакти кампаній з обізнаності (бюлетені, постери, слайди town-hall) та реєстр завершень онбордингу нових співробітників і підрядників.

Пакет має покривати весь аудит-період: 12 місяців для наглядових аудитів і 36 місяців для ресертифікації. Сукупні рейти завершення не задовольняють вимогу. Аудитор робитиме вибірку іменованих осіб у межах скоупу ISMS, включно з підрядниками, третіми сторонами та нещодавніми придбаннями, і запитуватиме записи.

Stage 1 — огляд документації. Аудитор підтверджує, що програма обізнаності задокументована, що вона покриває Annex A 6.3 і Clauses 7.2 та 7.3, та що рольова матриця призначень існує. Знахідки на Stage 1 зазвичай повʼязані з документаційними прогалинами, а не з прогалинами в доказах.

Stage 2 — сертифікаційний аудит. Аудитор робить вибірку записів на рівні співробітника по всьому скоупу ISMS, тестує процес підтвердження політики й валідує, що програма працює як задокументовано. Саме тут відкривається більшість невідповідностей, повʼязаних із обізнаністю.

Наглядові аудити в перший і другий роки роблять вибірку підмножини контролів. A.6.3 майже завжди входить, бо це найчастіше провальна контрольна зона у всьому стандарті. Ресертифікація на третій рік — повний аудит знову, з тим самим скоупом, що й Stage 2.

Стандарт 2013 року перелічував обізнаність як контроль A.7.2.2 у домені Human Resource Security. Стандарт 2022 року перемістив її в A.6.3 у нову тему People controls і переписав текст контролю, щоб зробити вимогу до програми явною: запланована, встановлена, впроваджена, підтримувана та регулярно оновлювана відповідно до політики інформаційної безпеки та релевантних топікальних політик.

Кінцевий термін переходу з 27001:2013 закрився 31 жовтня 2025 року. Організації, що працюють за старим сертифікатом після цієї дати, більше не сертифіковані за ISO 27001. SoA, документація програми та аудит-пакет доказів мають усі посилатися на A.6.3, а не на застарілий A.7.2.2.

Так. Clause 7.3 поширюється на «всіх осіб, які виконують роботу під контролем організації», що охоплює підрядників, агентський персонал і третіх сторін, де б вони не мали обліковий запис чи не обробляли інформаційні активи в межах скоупу ISMS. Контрактна модель не зменшує вимогу; організація залишається відповідальною за докази обізнаності.

Практична реалізація зазвичай призначає базовий модуль обізнаності кожному підряднику в перший день, з підписаним підтвердженням політики, і відстежує завершення в тій самій LMS чи GRC-системі, що тримає записи співробітників. Аудитори роблять вибірку записів підрядників на тих самих підставах, що й співробітників, тож відсутність одного підрядника — це та сама знахідка, що й відсутність співробітника.

Обидва фреймворки вимагають задокументованої, рольової програми обізнаності з прив'язкою до кожного співробітника. Глибина доказів подібна, і та сама навчальна програма зазвичай задовольняє обидва зі спільними пакетами доказів. Різниця в аудит-механіці: SOC 2 — атестація AICPA США з річними циклами Type 2, а ISO 27001 — міжнародний стандарт ISO з трирічними сертифікаційними циклами і акредитованими сертифікаційними органами.

Для організацій, що йдуть за обома, практичний патерн — спроєктувати програму обізнаності за ISO 27001 A.6.3 (більш приписовий контроль) і змапувати пакет доказів на SOC 2 CC1.4 як вторинний вид. Ті самі навчальні записи, рольові призначення та підтвердження політики підтримують обидва аудити.