Статьи про ISO и цифровизацию любят перечислять десяток стандартов сразу, но почти всегда упускают тот, что реально определяет тему в 2026 году: ISO/IEC 42001:2023, первый международный сертифицируемый стандарт систем менеджмента искусственного интеллекта. Вместо него обычно фигурирует куда более скромный технический отчёт про машинное обучение, который сертификации вообще не подлежит.

Сколько на самом деле сертификатов ISO 27001

По ISO Survey 2024 число действующих сертификатов ISO/IEC 27001 в мире: 96 709, рост почти вдвое с 48 671 в 2023 году. Отдельная метрика: число сертифицированных площадок (certified sites, если у организации несколько филиалов под одним сертификатом): 179 877. Встречающееся в статьях «180 000+ организаций внедрили ISO 27001» ближе к числу площадок, а не сертификатов, и путать эти два показателя не стоит: одна компания с десятком филиалов даёт один сертификат, но несколько площадок в статистике.

Стандарт, которого нет в большинстве статей про ISO и ИИ

ISO/IEC 42001:2023 «Information technology — Artificial intelligence — Management system» — реальный, действующий стандарт, опубликован в декабре 2023 года. Это первый международный стандарт с требованиями к системе менеджмента искусственного интеллекта: охватывает весь жизненный цикл ИИ-системы, от разработки до вывода из эксплуатации, с акцентом на прозрачность, справедливость алгоритмов и снижение рисков. Сертификация идёт по обычной схеме систем менеджмента: аккредитованный орган, аудит, срок действия сертификата три года с периодическим надзорным аудитом. Microsoft и Miro входят в число реальных компаний, уже получивших такой сертификат.

В оригинальных материалах вместо этого фигурирует ISO/IEC TR 23053, тоже реальный документ, но это Technical Report, а не полноценный сертифицируемый стандарт: он описывает общую структуру ИИ-систем на базе машинного обучения, но не задаёт требований, которые можно пройти аудитом. Разница принципиальная: спрашивать «сертифицирован ли вендор по TR 23053» так же бессмысленно, как спрашивать про сертификат по внутренней методичке.

Информационная безопасность для цифровизации: реальная связка стандартов

Ядро: ISO/IEC 27001 (требования к системе менеджмента информационной безопасности) в связке с ISO/IEC 27002 (детальный каталог практических мер защиты: политики, управление доступом, криптография). Дальше идут расширения под конкретные сценарии, а не конкурирующие альтернативы: ISO/IEC 27017 добавляет меры именно для облачных сервисов, ISO/IEC 27018 добавляет меры для защиты персональных данных в облаке, ISO/IEC 27035 задаёт процесс управления инцидентами информационной безопасности (обнаружение, локализация, восстановление, разбор причин). В нашей практике сопровождения сертификации именно отсутствие процедуры по 27035 остаётся частой находкой при первом аудите: политики есть, а формального порядка действий при реальном инциденте нет.

Промышленная кибербезопасность: где заканчивается ISO и начинается IEC

Для корпоративных сетей и офисных систем работает ISO/IEC 27001. Для промышленных систем управления (АСУ ТП, производственные линии, объекты критической инфраструктуры) базовый международный стандарт другой: серия IEC 62443, разработанная именно под специфику промышленной автоматизации, где обычные ИБ-практики офисных сетей не работают напрямую (другие протоколы, другие требования к доступности, риск физических последствий кибератаки). Смешивать эти два семейства стандартов как взаимозаменяемые — типичная ошибка. ISO 27001 не покрывает специфику промышленных протоколов, а IEC 62443 не заменяет требования к корпоративной системе менеджмента ИБ в целом.

Для непрерывности бизнеса при инциденте (не только кибератаке, любом сбое) отдельный стандарт: ISO 22301, требующий план обеспечения непрерывности и процедуры восстановления. Он логически продолжает работу 27035 после того, как инцидент уже локализован: 27035 отвечает за реагирование, 22301 — за то, чтобы бизнес не остановился, пока идёт восстановление. Ещё один стандарт из того же семейства, который редко упоминают рядом с цифровизацией, хотя он напрямую про защиту информации: ISO/IEC 15408 (Common Criteria), международная методология оценки безопасности самих продуктов и систем, а не процессов организации; честный разбор того, что он реально проверяет, есть в материале ISO 15408 Common Criteria: сертификация ИТ-безопасности.

Цифры и кейсы, которым нельзя верить

89% компаний с цифровыми стандартами показывают на 35% лучшие результаты, киберущерб снижается на 60% при внедрении ISO 27001, ROI цифровизации с ISO на 45% выше, 78% компаний считают стандарты критичными: ни у одной цифры нет указанного источника, методологии или года. Рядом обычно идут три кейса (производственная компания, банк, ритейлер) с точными процентами по эффективности, простоям и продажам без единой проверяемой детали, узнаваемый шаблон, который уже встречался в статьях про экологию и культуру этого же кластера.

ЗадачаСтандартЧто он реально даёт
Система менеджмента ИБISO/IEC 27001 + 27002Сертифицируемая система + каталог мер
Облачные сервисыISO/IEC 27017 / 27018Меры для облака и персональных данных
Управление ИИ-системамиСтандарт 42001 (AIMS)Сертифицируемая система менеджмента ИИ
Промышленные сетиIEC 62443Защита АСУ ТП, не заменяет ISO 27001
Непрерывность бизнесаISO 22301План восстановления после инцидента

Если в компании уже есть ISO 27001, но неясно, нужен ли отдельно сертификат по AIMS (например, при использовании ИИ в продукте или во внутренних процессах), разумно начать с консультации у специалистов, которые сопровождают именно эту связку сертификаций: пересечений по документации больше, чем кажется на старте, и часть требований закрывается одним аудитом вместо двух отдельных.

Разбор опирается на официальный текст стандарта систем менеджмента ИИ (публикация декабря 2023 года), данные ISO Survey 2024 по сертификатам ISO/IEC 27001 (96 709 сертификатов, 179 877 площадок), структуру серии 27001/27002/27017/27018/27035, а также на практику сопровождения сертификации в центре «Реестр Гарант»: отсутствие формальной процедуры по инцидентам (27035) — частая находка при первом аудите ИБ-систем.

Главный вывод: реальный актуальный стандарт для систем менеджмента ИИ, а не второстепенный технический отчёт TR 23053, который в статьях чаще всего и упоминают. Число сертификатов ISO 27001 (96 709) и число сертифицированных площадок (179 877) — это разные метрики, и смешивать их не стоит.

Вопросы и ответы

Какой стандарт ISO реально регулирует управление системами искусственного интеллекта?

Он же AIMS (AI management system) — первый международный сертифицируемый стандарт систем менеджмента ИИ, действует с декабря 2023 года. Технический отчёт TR 23053, который чаще встречается в статьях, сертификации не подлежит.

Сколько компаний в мире реально сертифицированы по ISO 27001?

По ISO Survey 2024 — 96 709 действующих сертификатов, почти вдвое больше, чем годом ранее. Отдельно считается число сертифицированных площадок (179 877), это другая метрика, не число компаний.

Чем ISO 27001 отличается от IEC 62443?

ISO 27001 — система менеджмента информационной безопасности для организации в целом, IEC 62443 — стандарт именно для промышленных систем автоматизации и управления. Они дополняют друг друга, а не заменяют: для завода с офисной сетью и производственной линией обычно нужны оба.

Занимаетесь ли вы разработкой и внедрением стандартов информационной безопасности?

Это зависит от масштаба задачи: от получения готового сертификата до полноценной разработки политики информационной безопасности, в том числе для случаев, когда она нужна как часть более широкого пакета документов (например, для лицензии профильного ведомства). Правильный вариант стоит уточнять под конкретную задачу компании.

Что произойдёт, если в компании есть политики ИБ, но нет процедуры реагирования на инциденты?

На аудите это частая находка: формально ISO/IEC 27035 требует именно оформленного порядка действий (обнаружение, локализация, восстановление, разбор причин), а не общего описания «мы реагируем на инциденты».

Правда ли, что 89% компаний с цифровыми стандартами ISO показывают лучшие результаты?

Источника у этой цифры нет ни в исследованиях, ни в документах ISO. Проверяемая часть темы — конкретные стандарты и их реальные требования, а не абстрактный процент эффективности.

Главное

Реальный сертифицируемый стандарт систем менеджмента ИИ (публикация декабря 2023 года) чаще всего отсутствует в подобных статьях.
Реальное число сертификатов ISO 27001 по ISO Survey 2024 — 96 709, а не «180 000+» (это ближе к числу площадок).
ISO 27001 и IEC 62443 дополняют друг друга: офисные сети и промышленные системы требуют разных стандартов.
ISO 22301 логически продолжает ISO/IEC 27035: реагирование на инцидент → непрерывность бизнеса.
Проценты вроде «89% компаний» и кейсы без проверяемых деталей нигде не подтверждаются.