ISO/IEC27001最新標(biāo)準(zhǔn)的特點(diǎn)及對(duì)獲證企業(yè)的影響？

Date19 1 月 2016

現(xiàn)版的信息安全管理體系ISO27001:2005標(biāo)準(zhǔn)已經(jīng)使用了8年，日前ISO組織（國(guó)際標(biāo)準(zhǔn)化組織）終于將新版ISO27001:2013DIS版（國(guó)際標(biāo)準(zhǔn)草案Draft International Standard）草稿向公眾開放并征求意見，預(yù)計(jì)在今年6-7月會(huì)發(fā)布DIS最終版。ISO組織公布的正式版本的頒布時(shí)間為 2013年10月19日
改版影響
在新版公布后的18至24個(gè)月內(nèi)是認(rèn)證轉(zhuǎn)換緩沖期，即原有已取得ISO27001證書的企業(yè)最遲需要在2015年10月19日前轉(zhuǎn)換到新版標(biāo)準(zhǔn)。
1采用新結(jié)構(gòu)
在新版當(dāng)中采用ISO導(dǎo)則83做結(jié)構(gòu)性要求，這個(gè)結(jié)構(gòu)未來(lái)在ISO其他標(biāo)準(zhǔn)改版中會(huì)普遍采用。（ ISO 22301已應(yīng)用）
將舊版11個(gè)控制領(lǐng)域拓展到14個(gè)，結(jié)構(gòu)更合理，表現(xiàn)更清晰。
2控制更精益
將通信與操作管理領(lǐng)域拆分為通信安全與操作安全兩個(gè)領(lǐng)域，比舊版標(biāo)準(zhǔn)更清晰的反應(yīng)了實(shí)際的需求。
將舊版業(yè)務(wù)連續(xù)性管理更新為信息安全方面的業(yè)務(wù)連續(xù)性管理，表述更準(zhǔn)確。
通過(guò)合并重復(fù)的控制項(xiàng)來(lái)精煉控制項(xiàng)的構(gòu)成（如變更管理在不同的領(lǐng)域中有重復(fù)就予以合并）。
3引入新重點(diǎn)
將原分布在各領(lǐng)域的加密及供應(yīng)鏈管理控制項(xiàng)級(jí)別提升，組成新領(lǐng)域，形成新重點(diǎn)，以反映目前信息安全的發(fā)展趨勢(shì)。
新增了智能型裝置管理的控制項(xiàng)
強(qiáng)化ICT供應(yīng)鏈委外管理的要求
完善了系統(tǒng)開發(fā)項(xiàng)目管理的信息安全要求

4 新標(biāo)準(zhǔn)對(duì)已獲得認(rèn)證證書組織的影響
新標(biāo)準(zhǔn)的頒布和執(zhí)行，對(duì)已通過(guò)ISO27001認(rèn)證的企業(yè)會(huì)造成一定影響，在新版公布后的18至24個(gè)月的認(rèn)證轉(zhuǎn)換緩沖期中，原有已取得ISO27001證書的企業(yè)最遲需要在2015年10月19日前轉(zhuǎn)換到新版標(biāo)準(zhǔn)。新標(biāo)的執(zhí)行需要企業(yè)在3方面對(duì)現(xiàn)有體系進(jìn)行調(diào)整：
1風(fēng)險(xiǎn)評(píng)估工具需升級(jí)
隨著新標(biāo)準(zhǔn)控制項(xiàng)架構(gòu)的調(diào)整，企業(yè)目前使（安信達(dá)咨詢znojukyf.cn）用的風(fēng)險(xiǎn)評(píng)估方法將受到一定影響，核心在于信息資產(chǎn)弱點(diǎn)建模及風(fēng)險(xiǎn)處置的控制項(xiàng)選擇部分，需要重新構(gòu)建符合新標(biāo)準(zhǔn)結(jié)構(gòu)的風(fēng)險(xiǎn)評(píng)估工具。
2 SOA適用性聲明及文件體系的升級(jí)
新標(biāo)準(zhǔn)的實(shí)施，將對(duì)SOA適用性聲明及企業(yè)現(xiàn)有體系文件制度產(chǎn)生較大影響，體系一二級(jí)文件將需進(jìn)行一個(gè)較大的內(nèi)容調(diào)整及升級(jí)，不過(guò)，對(duì)三四級(jí)文件的影響較小，在三四級(jí)文件層面上，僅需根據(jù)新標(biāo)要求進(jìn)行少量增補(bǔ)即可。
3內(nèi)部審核工具的升級(jí)
受內(nèi)部管理制度的調(diào)整，內(nèi)部審核的開展方式及使用工具將不可避免受到影響，也需根據(jù)新標(biāo)要求進(jìn)行升級(jí)。