關于iso27001認證新版修訂

發(fā)布時間：2018/5/8 14:10:14 發(fā)布來源：perfect99.net.cn 作者：通翔顧問

自2005年國際標準化組織(簡稱:ISO)將BS 7799轉(zhuǎn)化為ISO27001認證：2005發(fā)布以來，此標準在國際上獲得了空前的認可，相當數(shù)量的組織采納并進行了信息安全管理體系的認證, 至2011年底，國際上頒發(fā)的ISO 27001認證證書總數(shù)約為15625張(其中，BSI的市場占有率達約為45.65%)。在我國，自從2008年將ISO 27001:2005轉(zhuǎn)化為國家標準GB/T 22080:2008以來，信息安全管理體系認證在國內(nèi)進一步獲得了全面推廣，至2011年底，國內(nèi)頒發(fā)認證證書數(shù)量是1107張。越來越多的行業(yè)和組織認識到信息安全的重要性，并把它作為基礎管理工作之一開展起來。

然而過去的幾年中，IT領域和通信行業(yè)發(fā)生了非常大的變革，出現(xiàn)了全面的業(yè)務和技術的融合。移動互聯(lián)網(wǎng)蓬勃興起、智能手機的廣泛采用、云計算技術的風起云涌，帶來了全新的網(wǎng)絡威脅、數(shù)據(jù)泄漏和欺詐的風險。面對這樣的變化和趨勢，使得信息安全管理體系標準的更新也變得日益重要。

ISO對標準的更新，一般是以三年為一個周期,但因為ISO 27001：:2005標準發(fā)布后的巨大成功，以及ICT行業(yè)的飛躍發(fā)展，使得這個標準的更新變得非常謹慎，至今已有7年。從ISO組織發(fā)布的最新信息可以看到，ISO 27001標準的更新籌備實際上已經(jīng)在2008年開始，任命了工作組(JTC 1/SC 27 WG 1);2009年正式啟動更新。目前，處于該標準草案(Committee Draft)正在編寫委員會討論層面(30.20：2012-06-20)，預計新版發(fā)布時間會在 2013-10-19，那時我們就可以一睹它的全新面貌了。

從ISO 27001標準新版更新的一些說明材料中，可以看出這次ISO 27001標準改版將會具有以下幾個特征：

采用ISO導則83ISO導則83，規(guī)范了今后ISO管理體系認證標準的基本框架;采用導則83頒布的第一個標準是今年5月發(fā)布的業(yè)務連續(xù)管理體系標準——ISO 22301:2012。

導則83對今后的標準提出了新的框架要求，如下圖示，標注了ISO27001新版與2005版結(jié)構(gòu)的對比和差異：

在這個框架下，明顯的改變有如下幾點：

標準第4-7章，說明管理體系的一般要求，包括：組織的情境、領導力、策劃和支持；標準第8章，描述ISMS實施要求，包括信息安全風險評估和處置；標準第9章，描述監(jiān)視，測量和評審活動的要求；標準第10章，描述改善活動的要求；其中，取消了預防措施。信息安全風險管理與ISO體系31000風險管理保持一致新版的ISO 27001標準中信息安全風險管理要求與ISO 31000:2009 (Risk management——Principles and guidelines) 保持一致，并遵從其中的定義。

在新版標準中明確了以下要求：

信息安全風險評估：組織應確定如何確定其信息安全風險評估和處置過程的可靠性。信息安全風險處理：適用時，組織應調(diào)整信息安全風險評估和處置過程，以及采用的方法，以改善過程的可靠性。保留附錄A控制措施與控制目標新版ISO 27001依然會保留SOA和附錄A控制目標、控制措施的架構(gòu)；因此，毫無疑問，ISO 27001的新版修訂一定會與ISO 27002的修訂同步進行。
事實上，關于控制措施和控制目標的修訂，也是應對新的變化的信息安全威脅和風險必須的選擇；這部分的更新，在修訂項目中，接受了大量的修改建議，爭論也相當大，目前還沒有最后的結(jié)論。
持續(xù)發(fā)展27系列支持性標準ISO 27001從誕生第一天開始就不是孤立的，為了支持信息安全管理體系標準，ISO27系列發(fā)布了一系列普遍適用和行業(yè)適用的參考標準。如下圖：

截止目前，一些支持性標準目前的狀態(tài)如下表：

標準	名稱	狀態(tài)
ISO 27000	Overview and vocabulary	DIS
ISO 27001	Requirements	CD
ISO 27002	Code of practice for information security management	WD

古希臘哲學家赫拉克利特因其作為辯證法的奠基人聞名于世，他曾經(jīng)寫道“一切皆流，無物常住”，過去幾年中，國際上幾乎所有行業(yè)和組織面臨的信息安全風險的局勢無不體現(xiàn)了赫氏的這一學說。變化和發(fā)展是永恒的，信息安全風險總是處在持續(xù)演進中，攻擊者的手段依然會層出不窮。因此信息安全管理的實踐和標準都在不斷發(fā)展，我們唯一要做的就是保持警惕，隨時準備抵御風險。

如也有不清楚的可以隨時在線留言，通翔顧問致力于驗廠咨詢.體系服務18年，累計幫助30000多家企業(yè)順利通過各種各樣驗廠和體系認證。為廣大客戶提供一站式服務，機構(gòu)遍布全國，無論是國內(nèi)還是國外，都有我們公司的各個地區(qū)的輔導機構(gòu)，且社會經(jīng)驗豐富，老師專業(yè)，擁有諸多的人脈關系，可以為工廠提供高性價比的服務，避免找不到方向，讓制造廠安心、一次性順利通過驗廠和認證審核。