2013新版信息安全管理体系标准解析.pdfVIP

新版信息安全管理体系标准解析 中国信息安全认证中心江苏分中心 陈多思 引言 信息安全管理体系标准（ISO27001 ：2005 ） ， 自国际标准化组织（ISO ）于2005年发布以来，已经 使用8年。依据惯例，ISO组织每个5年左右将会对标 准进行一次升级，在2013年10月19日，ISO组织正式 发布了新版的信息安全管理体系标准（ISO27001 ： 2013 ）。 本文目的在于为读者详细介绍ISO27001 ：2013 的演变、价值、框架及内容解读，提供一条关于全面 了解ISO27001 ：2013的途径，帮助大家顺利从2005 版过渡到2013版。 2 内容声明 因为ISO组织并未发布关于本次ISO27001 ： 2013版本官方的升级说明，所以下文中对 ISO27001 ：2013版本的解析仅限于个人经验和理 解，疏漏之处，欢迎有不同意见的读者来信指正。 作者在研究ISO27001 ：2013版过程中，与国 内外多家著名信息安全咨询公司和咨询专家交流了 对新版控制条款的看法和意见。本文的最终成稿还 需感谢他们的帮助和支持。 作者邮箱：chends@isccc.gov.cn 3 ISO27001的起源和演变 1995年 英国标准协会(BSI)的BS7799标准 《信息安全管理实施细则》 1999年 BSI修订BS7799 ，将BS7799分为2个部分:BS7799-1、BS7799-2 2000年 ISO根据BS7799-1制定了ISO/IEC17799-1 2005年 ISO根据修订后的BS7799-2制定了ISO27001:2005 2005年 ISO17799 ：2000升级为ISO27002 ：2005 2008年 ISO27001正式等同转化为国家标准GB/T 22080:2008 2013年10月 ISO组织正式发布ISO27001 ：2013版 至今 ISO27001 ：2013尚未转为为国家标准 4 改版影响 ISO组织规定，新版发布后18-24个月内是认证转换 缓冲期，即原有已取得ISO27001证书的企业最迟需要在 2015年10月19日前转换到新版标准。 国外目前已经不再颁发ISO27001 ：2005的证书了， 但由于中国目前尚未发布与ISO27001 ：2013对应的国家 标准，所以目前国内还是依据与ISO27001 ：2005对应的 GB/T22080 ：2008来进行认证。对此，中国合格评定国 家认可委员会（CNAS ）规定： “自2014年9月1日至2015年7月31日 ，CNAS将结合年度监督或复评的办公室评审， 对已认可的ISMS认证机构实施转换评审。如有需要，认证机构也可向CNAS申请专项 评审，以完成转换。自2015年8月1日以后，CNAS不再安排针对ISO/IEC 27001:2013 转换的现场评审工作。 ” 5 新版特点 1. 易整合：在新版当中采用ISO导则83做结构性要求， 这个结构未来在ISO其他标准改版中会普遍采用。 （ISO 22301已应用）信息安全管理体系更容易 与其他管理体系进行融合。 2. 新要求：将旧版11个控制领域拓展到14个，结构 更合理，表现更清晰。将旧版133个控制项缩减到 113个。对部分控制项进行取消、合并和新增，以 反映当前信息安全发展趋势。 3. 清晰明确：对旧版一些表述不清晰、不准确以及 重复的部分控制项予以调整。 6 国际标准的未来框架