ISO/IEC27001最新標準的特點及對獲證企業(yè)的影響？

Date19 1 月 2016

現(xiàn)版的信息安全管理體系ISO27001:2005標準已經(jīng)使用了8年，日前ISO組織（國際標準化組織）終于將新版ISO27001:2013DIS版（國際標準草案Draft International Standard）草稿向公眾開放并征求意見，預(yù)計在今年6-7月會發(fā)布DIS最終版。ISO組織公布的正式版本的頒布時間為 2013年10月19日
改版影響
在新版公布后的18至24個月內(nèi)是認證轉(zhuǎn)換緩沖期，即原有已取得ISO27001證書的企業(yè)最遲需要在2015年10月19日前轉(zhuǎn)換到新版標準。
1采用新結(jié)構(gòu)
在新版當中采用ISO導(dǎo)則83做結(jié)構(gòu)性要求，這個結(jié)構(gòu)未來在ISO其他標準改版中會普遍采用。（ ISO 22301已應(yīng)用）
將舊版11個控制領(lǐng)域拓展到14個，結(jié)構(gòu)更合理，表現(xiàn)更清晰。
2控制更精益
將通信與操作管理領(lǐng)域拆分為通信安全與操作安全兩個領(lǐng)域，比舊版標準更清晰的反應(yīng)了實際的需求。
將舊版業(yè)務(wù)連續(xù)性管理更新為信息安全方面的業(yè)務(wù)連續(xù)性管理，表述更準確。
通過合并重復(fù)的控制項來精煉控制項的構(gòu)成（如變更管理在不同的領(lǐng)域中有重復(fù)就予以合并）。
3引入新重點
將原分布在各領(lǐng)域的加密及供應(yīng)鏈管理控制項級別提升，組成新領(lǐng)域，形成新重點，以反映目前信息安全的發(fā)展趨勢。
新增了智能型裝置管理的控制項
強化ICT供應(yīng)鏈委外管理的要求
完善了系統(tǒng)開發(fā)項目管理的信息安全要求

4 新標準對已獲得認證證書組織的影響
新標準的頒布和執(zhí)行，對已通過ISO27001認證的企業(yè)會造成一定影響，在新版公布后的18至24個月的認證轉(zhuǎn)換緩沖期中，原有已取得ISO27001證書的企業(yè)最遲需要在2015年10月19日前轉(zhuǎn)換到新版標準。新標的執(zhí)行需要企業(yè)在3方面對現(xiàn)有體系進行調(diào)整：
1風險評估工具需升級
隨著新標準控制項架構(gòu)的調(diào)整，企業(yè)目前使（安信達咨詢znojukyf.cn）用的風險評估方法將受到一定影響，核心在于信息資產(chǎn)弱點建模及風險處置的控制項選擇部分，需要重新構(gòu)建符合新標準結(jié)構(gòu)的風險評估工具。
2 SOA適用性聲明及文件體系的升級
新標準的實施，將對SOA適用性聲明及企業(yè)現(xiàn)有體系文件制度產(chǎn)生較大影響，體系一二級文件將需進行一個較大的內(nèi)容調(diào)整及升級，不過，對三四級文件的影響較小，在三四級文件層面上，僅需根據(jù)新標要求進行少量增補即可。
3內(nèi)部審核工具的升級
受內(nèi)部管理制度的調(diào)整，內(nèi)部審核的開展方式及使用工具將不可避免受到影響，也需根據(jù)新標要求進行升級。