ISO/IEC27001最新标准的特点及对获证企业的影响?

现版的信息安全管理体系ISO27001:2005标准已经使用了8年,日前ISO组织(国际标准化组织)终于将新版ISO27001:2013DIS版(国际标准草案Draft International Standard)草稿向公众开放并征求意见,预计在今年6-7月会发布DIS最终版。ISO组织公布的正式版本的颁布时间为 2013年10月19日

改版影响

在新版公布后的18至24个月内是认证转换缓冲期,即原有已取得ISO27001证书的企业最迟需要在2015年10月19日前转换到新版标准。

1采用新结构

在新版当中采用ISO导则83做结构性要求,这个结构未来在ISO其他标准改版中会普遍采用。( ISO 22301已应用)

将旧版11个控制领域拓展到14个,结构更合理,表现更清晰。

2控制更精益

将通信与操作管理领域拆分为通信安全与操作安全两个领域,比旧版标准更清晰的反应了实际的需求。

将旧版业务连续性管理更新为信息安全方面的业务连续性管理,表述更准确。

通过合并重复的控制项来精炼控制项的构成(如变更管理在不同的领域中有重复就予以合并)。

3引入新重点

将原分布在各领域的加密及供应链管理控制项级别提升,组成新领域,形成新重点,以反映目前信息安全的发展趋势。

新增了智能型装置管理的控制项

强化ICT供应链委外管理的要求

完善了系统开发项目管理的信息安全要求

 

4 新标准对已获得认证证书组织的影响

    新标准的颁布和执行,对已通过ISO27001认证的企业会造成一定影响,在新版公布后的18至24个月的认证转换缓冲期中,原有已取得ISO27001证书的企业最迟需要在2015年10月19日前转换到新版标准。新标的执行需要企业在3方面对现有体系进行调整:

1风险评估工具需升级

随着新标准控制项架构的调整,企业目前使用的风险评估方法将受到一定影响,核心在于信息资产弱点建模及风险处置的控制项选择部分,需要重新构建符合新标准结构的风险评估工具。

2 SOA适用性声明及文件体系的升级

新标准的实施,将对SOA适用性声明及企业现有体系文件制度产生较大影响,体系一二级文件将需进行一个较大的内容调整及升级,不过,对三四级文件的影响较小,在三四级文件层面上,仅需根据新标要求进行少量增补即可。

3内部审核工具的升级

受内部管理制度的调整,内部审核的开展方式及使用工具将不可避免受到影响,也需根据新标要求进行升级。

联系电话:13810406181(微信同号)18918121525(微信同号)

上海总公司: 上海市松江区广富林路4855弄115号4层  

郑州分公司: 郑州市中原区棉纺西路32-128号锦艺国际中心A座15层  

©2024 www.cticsr.com Copyright 上海合亦正标准技术服务有限公司 热线电话:13810406181

沪ICP备2021006436号

微信关注

扫一扫

电话咨询

   18918121525

   13810406181

 cticsr@cticsr.com