一、ISO/IEC27001:2013正式實施
ISO組織在現行ISO/IEC27001:2005標準使用8年后,在眾多組織的呼聲中,將新版2013版的頒布時間提前,于2013年9月26日推出正式版本ISO/IEC27001:2013信息安全管理體系標準。新標準與原標準的變化主要體現在以下幾方面。
1、標準正文變化。
ISO指引2012版AnnexSL對管理體系標準在結構、格式、通用短語和定義方面進行了統一。這將確保今后編制或修訂的管理體系標準的持續性、整合性和簡單化,這也將使標準更易讀、易懂。采用AnnexSL頒布的管理體系標準已有:ISO22301,ISO20121,ISO30301,ISO27001,將來發布的ISO9001:2015和ISO14001:2015都將采用相同的框架結構。見附表。
03章 前言、范圍、規范性引用文件、術語和定義 P 47章 組織環境、領導力、策劃和支持 D 8章 運行 C 9章 績效評價 A 10章 改進
2、風險管理變化。
新版的ISO27001標準中信息安全風險管理要求與ISO31000:2009(風險管理-原則和指引)保持一致,并遵從其中的定義,這樣讓信息安全風險管理更容易與企業級風險管理集成。
3、標準附錄變化。
新版ISO27001依然保留適用性聲明(SoA)和附錄A控制目標、控制措施的架構;由原來的11個控制域39個控制目標133個控制措施修訂為14個控制域35個控制目標114個控制措施,這些控制目標和控制措施突顯了加密管理、供應鏈管理的重要性;增強了控制域的結構性和系統性;同時減少對技術實現的關注,增加對管理控制的要求。控制措施變化:增加13個、刪除25個、合并減少7個,總計減少了19個。
4、認證轉換時間。
通過英國皇家認可委員會(UKAS)獲悉:已確認標準正式發布日期為2013年10月1日,認證過渡期為兩年,從2013年10月1日至2015年09月30日。已獲證企業最遲需要在2015年9月30日前的監督審核或換證審核時將符合2005版的管理體系認證轉換到2013新版標準。
二、企業應以改版為契機提升信息安全管理
在全球聚焦信息安全的背景下,建議企業通過采取如下措施,以改版為契機提升企業信息安全管理。
1、企業管理者代表或其他負責人積極參加新版標準解讀或相關研討會了解標準改版內容,用于領導和策劃改版工作;企業內部審核員、風險評估小組成員參加專業技術培訓,了解改版方向。
2、在企業人員了解標準改版方向及要點后,應該內部進行風險管理檢查,評估原有風險管理程序和風險評估過程記錄,修訂程序,進行風險再評估,從原來的信息資產關注轉換為業務風險和相關方影響關注。
3、進行體系文件升級,根據新標準要求并結合風險再評估結果,主要對手冊、SoA、制度和表格進行修訂,并重點關注職責權限、信息安全管理目標、利益相關方的信息安全需求收集、供應鏈信息安全風險的考慮。
4、對體系運行評審,修訂后體系在運行一段時間后,組織利用信息安全目標、有效性測量、內部審核、管理評審等評審工具對體系的運行進行評審,以迎接新版的外部評審。
共有條評論 網友評論