欢迎来到咨询管理网!

ISO27001关于新版—内容解读

2017-01-24 13:37:54来源:咨询管理网作者:moto浏览量:

咨询管理网。欢迎访问zxglw.com

 1采用新结构

在新版当中采用ISO导则83做结构性要求,这个结构未来在ISO其他标准改版中会普遍采用。( ISO 22301已应用)
将旧版11个控制领域拓展到14个,结构更合理,表现更清晰。
 
2控制更精益
在新版当中采用ISO导则83做结构性要求,这个结构未来在ISO其他标准改版中会普遍采用。( ISO 22301已应用)
将旧版11个控制领域拓展到14个,结构更合理,表现更清晰。
将旧版133个控制项缩减到113个(未来仍可能有改动)。
将通信与操作管理领域拆分为通信安全与操作安全两个领域,比旧版标准更清晰的反应了实际的需求。
将旧版业务连续性管理更新为信息安全方面的业务连续性管理,表述更准确。
通过合并重复的控制项来精炼控制项的构成(如变更管理在不同的领域中有重复就予以合并)。
 
3引入新重点
将原分布在各领域的加密及供应链管理控制项级别提升,组成新领域,形成新重点,以反映目前信息安全的发展趋势。
新增了智能型装置管理的控制项
强化ICT供应链委外管理的要求
完善了系统开发项目管理的信息安全要求
新标准正文部分架构变化
 93e871e5ge00b4b5804f1&690.jpg
 
Tips:
在新版中采用ISO导则83做结构性要求,从8个章节拓展到10个章节,重新构建了ISO标准PDCA的章节架构,这个结构在已发布的ISO22301中已经进行了应用,未来将在ISO其他标准改版中会普遍采用(包括ISO9000、ISO20000等)。
新标准正文部分内容构成
2.jpg
 
核心内容的变化
3.jpg
 
Tips:
旧版4.1章节独立成新版第4章,对ISMS建立的基础进行了调整和明确。
ISO27001:2005以资产和技术为主体,ISO27001:2013以组织业务关系为主体。
在ISMS范围和边界确定上,较ISO27001:2005版更多的考虑到了组织自身及利益相关方的需求,也意味着未来在ISMS建设中,依据组织环境情况对ISMS建设复杂度的剪裁将更灵活和个性化。
 
标准的变化
4.jpg
 
 
控制领域结构
5.jpg
 
    控制领域的变化
6.jpg
 
    控制项的增删与调整
    新增控制项:
    14.2.1  安全开发策略(软件和信息系统开发规则)
    14.2.5 系统开发程序(系统工程的原则)
    14.2.6  安全的开发环境(建立和保护开发环境)
    14.2.8  系统安全测试(安全功能的测试)
    16.1.4  信息安全事件的评估和决策(这是事件管理的一部分)
    17.2.1  信息处理设施的可用性(实现冗余)
    删除控制项:
    6.2.2 处理与顾客有关的安全问题
    10.4.2 控制移动代码
    10.7.3 信息处理规程
    10.7.4 系统文件安全
    10.8.5 业务信息系统
    10.9.3 公共可用信息
    11.4.2 外部连接的用户鉴别
    11.4.3 网络上的设备标识
    11.4.4 远程诊断和配置端口的保护
    11.4.6 网络连接控制
    11.4.7 网络路由控制
    11.5.5 会话超时
    11.5.6 联机时间的限定
    11.6.2 敏感系统隔离
    12.2.1 输入数据确认
    12.2.2内部处理的控制
    12.2.3 消息完整性
    12.2.4 输出数据确认
    12.5.4 信息泄露
    14.1.2 业务连续性和风险评估
    14.1.3 制订和实施业务连续性计划
    14.1.4 业务连续性计划框架
    15.1.5 防止滥用信息处理设施
    15.3.2 信息系统审计工具的保护
Tips:
新增或调整了一些控制措施,涉及信息系统开发、信息安全事件管理、业务连续性管理等部分;
删除了一些旧版中重复的和操作级的控制项;
调整并没有颠覆原有的结构,只是在原有控制项结构的基础上,进行了优化,较旧版来说的确更清晰了,相信这样的变化可以更容易的让组织去实现它们;
 
新标准对已获得认证证书组织的影响
新标准的颁布和执行,对已通过ISO27001认证的企业会造成一定影响,在新版公布后的18至24个月的认证转换缓冲期中,原有已取得ISO27001证书的企业最迟需要在2015年10月19日前转换到新版标准。新标的执行需要企业在3方面对现有体系进行调整:
1风险评估工具需升级
随着新标准控制项架构的调整,企业目前使用的风险评估方法将受到一定影响,核心在于信息资产弱点建模及风险处置的控制项选择部分,需要重新构建符合新标准结构的风险评估工具。
2 SOA适用性声明及文件体系的升级
新标准的实施,将对SOA适用性声明及企业现有体系文件制度产生较大影响,体系一二级文件将需进行一个较大的内容调整及升级,不过,对三四级文件的影响较小,在三四级文件层面上,仅需根据新标要求进行少量增补即可。
3内部审核工具的升级
受内部管理制度的调整,内部审核的开展方式及使用工具将不可避免受到影响,也需根据新标要求进行升级。
咨询管理网。欢迎访问zxglw.com