ISO27001-2013信息安全管理国标新版解读精要正式发布版.pdf
《ISO27001-2013信息安全管理国标新版解读精要正式发布版.pdf》由会员分享,可在线阅读,更多相关《ISO27001-2013信息安全管理国标新版解读精要正式发布版.pdf(11页珍藏版)》请在启牛文库网上搜索。
1、ISO27000 新版解读系列文档二 ISO27001:2013 解读精要老李飞刀 版权所有 内部公开ISO27001:2013 新版解读精要新版解读精要V1.01.1.综述 综述 ISO/IEC 27001(信息安全管理体系国际标准)是全球范围内发展最为快速的管理体系标准之一,2005 年发布迄今在全国 100 多个国家中已签发 17,500 多张证书,证书数量保持每年两位数增长。信息安全最佳实践标准 ISO/IEC27002 为该 ISO27001 的使用提供了必要的支持。这两个标准均通过国际标准化组织(该组织的成员包括 47 个国家标准机构)达成共识的方式而制定。信息安全管理体系国际标准
2、新版BSISO/IEC27001:2013与BSISO/IEC27002:2013在2013年10月已正式发布。相关的几个标准,包括 27003,27004,27005 亦正在修订中。ISO27001:2013 版(以下简称新版)大幅修改了结构,以适应未来管理体系标准中使用的新的架构,简化与其他管理体系的整合。标准新版删除了旧版中重复、不适用的内容,结构上更清晰,内容上更精炼,逻辑上更严谨结构上更清晰,内容上更精炼,逻辑上更严谨,并且在管理要求的定义上变得更具弹性,给予组织更灵活的实施空间给予组织更灵活的实施空间。值得信息安全从业人员去学习、实践。本文为“ISO27000 标准族新版解读系列”
3、的第二篇,笔者从 ISMS 项目实施及咨询顾问的视角,和大家一起来研究一下新版标准的变化以及如何将现有体系向新版转换;由于 ISO27001:2013 推出不久,笔者接触时间有限,文中如有不当之处,敬请读者指正。(笔者的 QQ 及邮箱为 46040336QQ.COM)。2.2.标准新版与旧版的差异 标准新版与旧版的差异 2.1 整体变化整体变化 ISO27000 新版解读系列文档二 ISO27001:2013 解读精要老李飞刀 版权所有 内部公开注注:图 1 ISO 27001:2005 有 11 个域、133 项控制措施,新版已调整为 14 个域、114 项控制措施。2.2 正文的变化正文的
4、变化a)编写架构编写架构新版编写终于采用了标准化的ISO Annex SL通用架构(同ISO22301),采用此架构的好处在于可将各标准的要求,以统一的架构进行描述。Annex SL架构考虑了管理体系间的兼容性,有利于不同管理体系间进行接轨、整合。b)PDCA 与持续改进与持续改进PDCA 是旧版标准中强调在体系建设及实施过程使用的过程方法,新版标准中已不见旧版 0.2 中大段对过程方法 PDCA 模型的描述,取而代之的是正文 10.2 中的一句“持续改进”。但从标准编写的目录结构上看,新版调整为 Planning-Support-Operation-Performance evaluatio
5、n-Improvement,架构上其实是更趋 PDCA了。至于为什么在 Planning 与 Operation 间插一个 Support,而不是把 Support 的内容简单纳入到Leadership 和 Planning 以保持框架的简洁,个人是不大理解。或许这正是 BSI/ISO 的特色吧。图 2ISO27001:2013 文件结构与 PDCAc)风险评估方法风险评估方法新版简化了对风险识别、风险分析的要求的描述,不再强调对资产责任人、威胁、脆弱性等进行识别,这意味着组织可选用的风险评估的方法可以更加宽泛和灵活。组织可以根据自身的情况,选用简化的风险评估方法,或继续使用现行的方法。新版中
6、依然未明确评估周期。(6.1.2)。(老李:实操层面,当前风险评估可参照的标准有 ISO31000,GBT20984,ISO27005,但此类标准都有各自的问题,包括逻辑性、操作性,实际应用中要有所取舍)。ISO27000 新版解读系列文档二 ISO27001:2013 解读精要老李飞刀 版权所有 内部公开d)风险属主风险属主6.1.2 识别风险中“风险属主”替代了“资产责任人”。资产所有者未必是风险属主,风险属主可以是资产的管理者、该风险管控的负责人(如部门领导)、或组织领导者等。(6.1.2)e)风险处置风险处置 组织可自行选择所需控制,而不仅限于从附录 A 中选择;明确了风险处置计划和残
7、余风险需要风险属主审批。(6.1.3)。注意,风险属主可能是一个人、多个人或一个代表,也包括非 IT 人员。f)RA 参考标准参考标准明确信息安全风险评估和风险处置过程与 ISO31000:2009 相一致。备注中的风险评估参考文件从 ISO/IEC TR 13335-3,信息技术-IT 安全管理指南-IT 安全管理技术变成了 ISO31000:2009。(6.1.3)g)信息安全目标信息安全目标对信息安全目标及实现的要求独立为 6.2,6.2 中对目标的制定、沟通、测量、时间计划、更新、职责等的要求比旧版更为明确。h)文档要求文档要求旧版中 4.2Documentationrequireme
8、nts 变成了新版的 7.5Documentationinformation,对于文件“编制和更新”的要求独立出来。旧版的 4.3.2 文件控制,4.3.3 记录控制,合并为新版的“文件控制”。内容上更精简,架构上更灵活,通用性强。旧版 4.3.1 中对于强制性文件的要求在新版中不再有。新版中的Document information,指的可能是document(文件),也可能是record(记录),其目的是为了证明过程已经实施,表明体系的有效性。新版中关于文档控制的要求基本不变。但要留意新版对保留过程文档信息 Documentationinformation 的要求几乎散布了标准各个章节,包
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISO27001 2013 信息 安全管理 国标 新版 解读 精要 正式 发布