信息安全管理體系ISO27001:2013版目前ISO組織公布的正式版本的頒布時(shí)間為2013年10月19日����,在新版公布后的18至24個(gè)月內是轉換緩沖期��,即原有已取得證書(shū)的企業(yè)最遲需要在2015年10月19日前轉換到新版標準��。
此次改版與舊版相比主要有三大差異:
一��、管理體系更容易整合;
二����、融入企業(yè)面臨的新挑戰;
三���、更多指引延伸參考�。
說(shuō)明如下:
(1) 易整合:以前各管理系統對管理制度面的要求有不太一致的描述方式���,且章節不一��。例如管理制度的PDCA(Plan�,Do���,Check���,Act)����、政策與高級支持等管理制度面要求不同��。在新版當中采取Annex
SL做結構性要求��,讓不同管理系統易于接軌���、整合����。Annex SL的高級結構是ISO組織未來(lái)所有管理制度制定時(shí)的重要依據�,目前已經(jīng)有ISO22301(前BS
25999營(yíng)運持續管理系統)和這次的ISO27001新版都已采此結構進(jìn)行調整�����。預計已頒布的標準如ISO9000/ISO20000未來(lái)的改版也將以相同的思路進(jìn)行調整��。
(2) 新要求:ISO27001:2005原本有11個(gè)領(lǐng)域(domain)����、133項控制措施��,新版DIS目前調整為14個(gè)領(lǐng)域(A.5-A.18)����、113個(gè)控制措施(未來(lái)仍可能有改動(dòng))����。新增的領(lǐng)域是將原分散在各領(lǐng)域中的部分控制目標級別提升���,組成新領(lǐng)域�,如加密與供應鏈管理因其重要性而被獨立出來(lái)成為新領(lǐng)域;或是將原有領(lǐng)域分拆���,如將通訊與作業(yè)管理分開(kāi)成兩個(gè)獨立的領(lǐng)域���,以反映目前信息安全的發(fā)展趨勢�����。而控制措施的減少則是通過(guò)合并重復的項目來(lái)進(jìn)行���,像變更管理在不同的領(lǐng)域中有重復就予以合并�。也有新增的控制項目比如對智能型裝置的管理��、強化ICT供應鏈的委外管理�、以及系統開(kāi)發(fā)項目管理的信息安全要求等����。
(3) 更多參考:此次ISO也新增許多指引供企業(yè)參考����,組織可以通過(guò)不同的面以及風(fēng)險進(jìn)行深度的強化�,通過(guò)ISO27001驗證只是基本要求����。目前ISO27000系列指引編號已超過(guò)44號(001-044)�����,例如金融服務(wù)����、數字鑒識����、供應鏈管理(4本)��、軟件開(kāi)發(fā)測試等��,主管機關(guān)可參考這些指引做升級的要求�����。
