信息安全管理体系认证新版变化

作者: 泽林认证    E-mail： 18716705@qq.com    发布时间：2019-04-28

    现版的信息安全办理体系ISO 27001:2005规范现已使用了8年，日前ISO安排总算将新版ISO 27001:2013 DIS版草稿向大众敞开并征求意见，估计在本年6-7月会发布DIS最终版。现在ISO安排发布的正式版别的发布时刻为2013年10月19日，在新版发布后的18至24个月内是转化缓冲期，即原有已获得证书的企业最迟需要在2015年10月19日前转化到新版规范。

    此次改版与旧版比较主要有三大差异：办理体系更简单整合；融入企业面对的新应战；更多指引延伸参阅。阐明如下：易整合：曾经各办理体系对办理制度面的要求有不太共同的描绘方法，且章节纷歧。例如办理制度的PDCA、方针与高档支撑等办理制度面要求不同。

    在新版傍边采纳Annex SL做结构性要求，让不同办理体系易于接轨、整合。Annex SL的高档结构是ISO安排未来一切办理制度制守时的重要依据，现在现已有ISO 22301和这次的ISO 27001新版都已采此结构进行调整。估计已发布的规范如ISO9000/ ISO20000未来的改版也将以相同的思路进行调整。

    ISO 27001:2005本来有11个范畴、133项操控措施，新版DIS现在调整为14个范畴、113个操控措施。新增的范畴是将原涣散在各范畴中的部分操控方针等级提高，组成新范畴，如加密与供应链办理因其重要性而被独立出来成为新范畴；或是将原有范畴分拆，如将通讯与作业办理分开成两个独立的范畴，以反映现在信息安全的发展趋势。

    而操控措施的削减则是经过兼并重复的项目来进行，像改变办理在不同的范畴中有重复就予以兼并。也有新增的操控项目比如对智能型设备的办理、强化ICT供应链的委外办理、以及体系开发项目办理的信息安全要求等。此次ISO也新增许多指引供企业参阅，安排能够经过不同的面以及危险进行深度的强化，经过ISO 27001验证仅仅基本要求。

    现在ISO 27000系列指引编号已超越44号，例如金融效劳、数字鉴识、供应链办理、软件开发测验等，主管机关可参阅这些指引做晋级的要求。关于正在预备ISO 27001的企业，主张无须等候新版，依照原订进展先获得27001:2005验证，在缓冲期完毕前转到新版即可，新版会向下兼容接轨。