作者: 丁泽林 E-mail: 71933887@qq.com 发布时间:2019-04-28
现版的信息安全办理体系ISO 27001:2005规范现已使用了8年,日前ISO安排总算将新版ISO 27001:2013 DIS版草稿向大众敞开并征求意见,估计在本年6-7月会发布DIS最终版。现在ISO安排发布的正式版别的发布时刻为2013年10月19日,在新版发布后的18至24个月内是转化缓冲期,即原有已获得证书的企业最迟需要在2015年10月19日前转化到新版规范。
此次改版与旧版比较主要有三大差异:办理体系更简单整合;融入企业面对的新应战;更多指引延伸参阅。阐明如下:易整合:曾经各办理体系对办理制度面的要求有不太共同的描绘方法,且章节纷歧。例如办理制度的PDCA、方针与高档支撑等办理制度面要求不同。
在新版傍边采纳Annex SL做结构性要求,让不同办理体系易于接轨、整合。Annex SL的高档结构是ISO安排未来一切办理制度制守时的重要依据,现在现已有ISO 22301和这次的ISO 27001新版都已采此结构进行调整。估计已发布的规范如ISO9000/ ISO20000未来的改版也将以相同的思路进行调整。
ISO 27001:2005本来有11个范畴、133项操控措施,新版DIS现在调整为14个范畴、113个操控措施。新增的范畴是将原涣散在各范畴中的部分操控方针等级提高,组成新范畴,如加密与供应链办理因其重要性而被独立出来成为新范畴;或是将原有范畴分拆,如将通讯与作业办理分开成两个独立的范畴,以反映现在信息安全的发展趋势。
而操控措施的削减则是经过兼并重复的项目来进行,像改变办理在不同的范畴中有重复就予以兼并。也有新增的操控项目比如对智能型设备的办理、强化ICT供应链的委外办理、以及体系开发项目办理的信息安全要求等。此次ISO也新增许多指引供企业参阅,安排能够经过不同的面以及危险进行深度的强化,经过ISO 27001验证仅仅基本要求。
现在ISO 27000系列指引编号已超越44号,例如金融效劳、数字鉴识、供应链办理、软件开发测验等,主管机关可参阅这些指引做晋级的要求。关于正在预备ISO 27001的企业,主张无须等候新版,依照原订进展先获得27001:2005验证,在缓冲期完毕前转到新版即可,新版会向下兼容接轨。