關(guān)于iso27001認(rèn)證新版修訂

發(fā)布時(shí)間：2018/5/8 14:10:14 發(fā)布來(lái)源：9x5c.cn 作者：通翔顧問

自2005年國(guó)際標(biāo)準(zhǔn)化組織(簡(jiǎn)稱:ISO)將BS 7799轉(zhuǎn)化為ISO27001認(rèn)證：2005發(fā)布以來(lái)，此標(biāo)準(zhǔn)在國(guó)際上獲得了空前的認(rèn)可，相當(dāng)數(shù)量的組織采納并進(jìn)行了信息安全管理體系的認(rèn)證, 至2011年底，國(guó)際上頒發(fā)的ISO 27001認(rèn)證證書總數(shù)約為15625張(其中，BSI的市場(chǎng)占有率達(dá)約為45.65%)。在我國(guó)，自從2008年將ISO 27001:2005轉(zhuǎn)化為國(guó)家標(biāo)準(zhǔn)GB/T 22080:2008以來(lái)，信息安全管理體系認(rèn)證在國(guó)內(nèi)進(jìn)一步獲得了全面推廣，至2011年底，國(guó)內(nèi)頒發(fā)認(rèn)證證書數(shù)量是1107張。越來(lái)越多的行業(yè)和組織認(rèn)識(shí)到信息安全的重要性，并把它作為基礎(chǔ)管理工作之一開展起來(lái)。

然而過去的幾年中，IT領(lǐng)域和通信行業(yè)發(fā)生了非常大的變革，出現(xiàn)了全面的業(yè)務(wù)和技術(shù)的融合。移動(dòng)互聯(lián)網(wǎng)蓬勃興起、智能手機(jī)的廣泛采用、云計(jì)算技術(shù)的風(fēng)起云涌，帶來(lái)了全新的網(wǎng)絡(luò)威脅、數(shù)據(jù)泄漏和欺詐的風(fēng)險(xiǎn)。面對(duì)這樣的變化和趨勢(shì)，使得信息安全管理體系標(biāo)準(zhǔn)的更新也變得日益重要。

ISO對(duì)標(biāo)準(zhǔn)的更新，一般是以三年為一個(gè)周期,但因?yàn)镮SO 27001：:2005標(biāo)準(zhǔn)發(fā)布后的巨大成功，以及ICT行業(yè)的飛躍發(fā)展，使得這個(gè)標(biāo)準(zhǔn)的更新變得非常謹(jǐn)慎，至今已有7年。從ISO組織發(fā)布的最新信息可以看到，ISO 27001標(biāo)準(zhǔn)的更新籌備實(shí)際上已經(jīng)在2008年開始，任命了工作組(JTC 1/SC 27 WG 1);2009年正式啟動(dòng)更新。目前，處于該標(biāo)準(zhǔn)草案(Committee Draft)正在編寫委員會(huì)討論層面(30.20：2012-06-20)，預(yù)計(jì)新版發(fā)布時(shí)間會(huì)在 2013-10-19，那時(shí)我們就可以一睹它的全新面貌了。

從ISO 27001標(biāo)準(zhǔn)新版更新的一些說(shuō)明材料中，可以看出這次ISO 27001標(biāo)準(zhǔn)改版將會(huì)具有以下幾個(gè)特征：

采用ISO導(dǎo)則83ISO導(dǎo)則83，規(guī)范了今后ISO管理體系認(rèn)證標(biāo)準(zhǔn)的基本框架;采用導(dǎo)則83頒布的第一個(gè)標(biāo)準(zhǔn)是今年5月發(fā)布的業(yè)務(wù)連續(xù)管理體系標(biāo)準(zhǔn)——ISO 22301:2012。

導(dǎo)則83對(duì)今后的標(biāo)準(zhǔn)提出了新的框架要求，如下圖示，標(biāo)注了ISO27001新版與2005版結(jié)構(gòu)的對(duì)比和差異：

在這個(gè)框架下，明顯的改變有如下幾點(diǎn)：

標(biāo)準(zhǔn)第4-7章，說(shuō)明管理體系的一般要求，包括：組織的情境、領(lǐng)導(dǎo)力、策劃和支持；標(biāo)準(zhǔn)第8章，描述ISMS實(shí)施要求，包括信息安全風(fēng)險(xiǎn)評(píng)估和處置；標(biāo)準(zhǔn)第9章，描述監(jiān)視，測(cè)量和評(píng)審活動(dòng)的要求；標(biāo)準(zhǔn)第10章，描述改善活動(dòng)的要求；其中，取消了預(yù)防措施。信息安全風(fēng)險(xiǎn)管理與ISO體系31000風(fēng)險(xiǎn)管理保持一致新版的ISO 27001標(biāo)準(zhǔn)中信息安全風(fēng)險(xiǎn)管理要求與ISO 31000:2009 (Risk management——Principles and guidelines) 保持一致，并遵從其中的定義。

在新版標(biāo)準(zhǔn)中明確了以下要求：

信息安全風(fēng)險(xiǎn)評(píng)估：組織應(yīng)確定如何確定其信息安全風(fēng)險(xiǎn)評(píng)估和處置過程的可靠性。信息安全風(fēng)險(xiǎn)處理：適用時(shí)，組織應(yīng)調(diào)整信息安全風(fēng)險(xiǎn)評(píng)估和處置過程，以及采用的方法，以改善過程的可靠性。保留附錄A控制措施與控制目標(biāo)新版ISO 27001依然會(huì)保留SOA和附錄A控制目標(biāo)、控制措施的架構(gòu)；因此，毫無(wú)疑問，ISO 27001的新版修訂一定會(huì)與ISO 27002的修訂同步進(jìn)行。
事實(shí)上，關(guān)于控制措施和控制目標(biāo)的修訂，也是應(yīng)對(duì)新的變化的信息安全威脅和風(fēng)險(xiǎn)必須的選擇；這部分的更新，在修訂項(xiàng)目中，接受了大量的修改建議，爭(zhēng)論也相當(dāng)大，目前還沒有最后的結(jié)論。
持續(xù)發(fā)展27系列支持性標(biāo)準(zhǔn)ISO 27001從誕生第一天開始就不是孤立的，為了支持信息安全管理體系標(biāo)準(zhǔn)，ISO27系列發(fā)布了一系列普遍適用和行業(yè)適用的參考標(biāo)準(zhǔn)。如下圖：

截止目前，一些支持性標(biāo)準(zhǔn)目前的狀態(tài)如下表：

標(biāo)準(zhǔn)	名稱	狀態(tài)
ISO 27000	Overview and vocabulary	DIS
ISO 27001	Requirements	CD
ISO 27002	Code of practice for information security management	WD

古希臘哲學(xué)家赫拉克利特因其作為辯證法的奠基人聞名于世，他曾經(jīng)寫道“一切皆流，無(wú)物常住”，過去幾年中，國(guó)際上幾乎所有行業(yè)和組織面臨的信息安全風(fēng)險(xiǎn)的局勢(shì)無(wú)不體現(xiàn)了赫氏的這一學(xué)說(shuō)。變化和發(fā)展是永恒的，信息安全風(fēng)險(xiǎn)總是處在持續(xù)演進(jìn)中，攻擊者的手段依然會(huì)層出不窮。因此信息安全管理的實(shí)踐和標(biāo)準(zhǔn)都在不斷發(fā)展，我們唯一要做的就是保持警惕，隨時(shí)準(zhǔn)備抵御風(fēng)險(xiǎn)。

如也有不清楚的可以隨時(shí)在線留言，通翔顧問致力于驗(yàn)廠咨詢.體系服務(wù)18年，累計(jì)幫助30000多家企業(yè)順利通過各種各樣驗(yàn)廠和體系認(rèn)證。為廣大客戶提供一站式服務(wù)，機(jī)構(gòu)遍布全國(guó)，無(wú)論是國(guó)內(nèi)還是國(guó)外，都有我們公司的各個(gè)地區(qū)的輔導(dǎo)機(jī)構(gòu)，且社會(huì)經(jīng)驗(yàn)豐富，老師專業(yè)，擁有諸多的人脈關(guān)系，可以為工廠提供高性價(jià)比的服務(wù)，避免找不到方向，讓制造廠安心、一次性順利通過驗(yàn)廠和認(rèn)證審核。