ISO/IEC27001最新标准的特点及对获证企业的影响?
2017-05-03
现版的信息安全管理体系ISO27001:2005标准已经使用了8年,日前ISO组织(国际标准化组织)终于将新版ISO27001:2013DIS版(国际标准草案Draft International Standard)草稿向公众开放并征求意见,预计在今年6-7月会发布DIS最终版。ISO组织公布的正式版本的颁布时间为 2013年10月19日
改版影响
在新版公布后的18至24个月内是认证转换缓冲期,即原有已取得ISO27001证书的企业最迟需要在2015年10月19日前转换到新版标准。
1采用新结构
在新版当中采用ISO导则83做结构性要求,这个结构未来在ISO其他标准改版中会普遍采用。( ISO 22301已应用)
将旧版11个控制领域拓展到14个,结构更合理,表现更清晰。
2控制更精益
将通信与操作管理领域拆分为通信安全与操作安全两个领域,比旧版标准更清晰的反应了实际的需求。
将旧版业务连续性管理更新为信息安全方面的业务连续性管理,表述更准确。
通过合并重复的控制项来精炼控制项的构成(如变更管理在不同的领域中有重复就予以合并)。
3引入新重点
将原分布在各领域的加密及供应链管理控制项级别提升,组成新领域,形成新重点,以反映目前信息安全的发展趋势。
新增了智能型装置管理的控制项
强化ICT供应链委外管理的要求
完善了系统开发项目管理的信息安全要求
4 新标准对已获得认证证书组织的影响
新标准的颁布和执行,对已通过ISO27001认证的企业会造成一定影响,在新版公布后的18至24个月的认证转换缓冲期中,原有已取得ISO27001证书的企业最迟需要在2015年10月19日前转换到新版标准。新标的执行需要企业在3方面对现有体系进行调整:
1风险评估工具需升级
随着新标准控制项架构的调整,企业目前使用的风险评估方法将受到一定影响,核心在于信息资产弱点建模及风险处置的控制项选择部分,需要重新构建符合新标准结构的风险评估工具。
2 SOA适用性声明及文件体系的升级
新标准的实施,将对SOA适用性声明及企业现有体系文件制度产生较大影响,体系一二级文件将需进行一个较大的内容调整及升级,不过,对三四级文件的影响较小,在三四级文件层面上,仅需根据新标要求进行少量增补即可。
3内部审核工具的升级
受内部管理制度的调整,内部审核的开展方式及使用工具将不可避免受到影响,也需根据新标要求进行升级。