設為主頁   |    加入收藏   |    網站地圖

新版ISO 27001含三大改變 預計今年10月公布

點擊次數:1166  發布日期:2013-02-26  【打印此頁
現版的信息安全管理系統ISO 27001:2005標準已經使用了8年,日前ISO組織(國際標準化組織)終于將新版ISO 27001:2013 DIS版(國際標準草案Draft International Standard)草稿向公眾開放并征求意見,預計在今年6-7月會發布DIS最終版。目前ISO組織公布的正式版本的頒布時間為2013年10月19日,在新版公布后的18至24個月內是轉換緩沖期,即原有已取得證書的企業最遲需要在2015年10月19日前轉換到新版標準。

  BSI英國標準協會驗證部助理謝君豪表示,此次算是大改版,與舊版相比主要有三大差異:一、管理體系更容易整合;二、融入企業面臨的新挑戰;三、更多指引延伸參考。說明如下:

  (1) 易整合:以前各管理系統對管理制度面的要求有不太一致的描述方式,且章節不一。例如管理制度的PDCA(Plan,Do,Check,Act)、政策與高級支持等管理制度面要求不同。在新版當中采取Annex SL做結構性要求,讓不同管理系統易于接軌、整合(如下圖)。Annex SL的高級結構是ISO組織未來所有管理制度制定時的重要依據,目前已經有ISO 22301(前BS 25999營運持續管理系統)和這次的ISO 27001新版都已采此結構進行調整。預計已頒布的標準如ISO9000/ ISO20000未來的改版也將以相同的思路進行調整。

新版ISO 27001含三大改變 預計今年10月公布

  (2) 新要求:ISO 27001:2005原本有11個領域(domain)、133項控制措施,新版DIS目前調整為14個領域(A.5-A.18)、113個控制措施(未來仍可能有改動)。新增的領域是將原分散在各領域中的部分控制目標級別提升,組成新領域,如加密與供應鏈管理因其重要性而被獨立出來成為新領域;或是將原有領域分拆,如將通訊與作業管理分開成兩個獨立的領域,以反映目前信息安全的發展趨勢。而控制措施的減少則是通過合并重復的項目來進行,像變更管理在不同的領域中有重復就予以合并。也有新增的控制項目比如對智能型裝置的管理、強化ICT供應鏈的委外管理、以及系統開發項目管理的信息安全要求等。

  (3) 更多參考:此次ISO也新增許多指引供企業參考,組織可以通過不同的面以及風險進行深度的強化,通過ISO 27001驗證只是基本要求。目前ISO 27000系列指引編號已超過44號(001-044),例如金融服務、數字鑒識、供應鏈管理(4本)、軟件開發測試等,主管機關可參考這些指引做升級的要求。

  對于目前正在準備ISO 27001的企業,謝君豪建議無須等待新版,按照原訂進度先取得27001:2005驗證,在緩沖期結束前轉到新版即可,新版會向下兼容接軌。

闲来浙江麻将
诚信彩网址 赚钱的主意英语翻译 北京pk10最稳办法 武汉麻将技巧顺口溜 现货白银能赚钱啊 广东快乐10分最快开奖 河南地方麻将 可以换现金捕鱼游戏 老公去北京赚钱养我了 派派怎么迅速赚钱 一肖一码 新闻头条怎麼赚钱