关于iso27001认证新版修订

发布时间：2018/5/8 14:10:14   发布来源：www.txzcoc.com    作者：通翔顾问

  自2005年国际标准化组织(简称:ISO)将BS 7799转化为ISO27001认证：2005发布以来，此标准在国际上获得了空前的认可，相当数量的组织采纳并进行了信息安全管理体系的认证, 至2011年底，国际上颁发的ISO 27001认证证书总数约为15625张(其中，BSI的市场占有率达约为45.65%)。在我国，自从2008年将ISO 27001:2005转化为国家标准GB/T 22080:2008以来，信息安全管理体系认证在国内进一步获得了全面推广，至2011年底，国内颁发认证证书数量是1107张。越来越多的行业和组织认识到信息安全的重要性，并把它作为基础管理工作之一开展起来。

  然而过去的几年中，IT领域和通信行业发生了非常大的变革，出现了全面的业务和技术的融合。移动互联网蓬勃兴起、智能手机的广泛采用、云计算技术的风起云涌，带来了全新的网络威胁、数据泄漏和欺诈的风险。面对这样的变化和趋势，使得信息安全管理体系标准的更新也变得日益重要。

  ISO对标准的更新，一般是以三年为一个周期,但因为ISO 27001：:2005标准发布后的巨大成功，以及ICT行业的飞跃发展，使得这个标准的更新变得非常谨慎，至今已有7年。从ISO组织发布的最新信息可以看到，ISO 27001标准的更新筹备实际上已经在2008年开始，任命了工作组(JTC 1/SC 27 WG 1);2009年正式启动更新。目前，处于该标准草案(Committee Draft)正在编写委员会讨论层面(30.20：2012-06-20)，预计新版发布时间会在 2013-10-19，那时我们就可以一睹它的全新面貌了。

  从ISO 27001标准新版更新的一些说明材料中，可以看出这次ISO 27001标准改版将会具有以下几个特征：

  采用ISO导则83ISO导则83，规范了今后ISO管理体系认证标准的基本框架;采用导则83颁布的第一个标准是今年5月发布的业务连续管理体系标准——ISO 22301:2012。

  导则83对今后的标准提出了新的框架要求，如下图示，标注了ISO27001新版与2005版结构的对比和差异：

      在这个框架下，明显的改变有如下几点：

       标准第4-7章，说明管理体系的一般要求，包括： 组织的情境、领导力、策划和支持；标准第8章，描述ISMS实施要求，包括信息安全风险评估和处置；标准第9章，描述监视，测量和评审活动的要求；标准第10章，描述改善活动的要求；其中，取消了预防措施。信息安全风险管理与ISO体系31000风险管理保持一致新版的ISO 27001标准中信息安全风险管理要求与ISO 31000:2009 (Risk management——Principles and guidelines) 保持一致，并遵从其中的定义。

     在新版标准中明确了以下要求：

      信息安全风险评估：组织应确定如何确定其信息安全风险评估和处置过程的可靠性。 信息安全风险处理：适用时，组织应调整信息安全风险评估和处置过程，以及采用的方法，以改善过程的可靠性。保留附录A控制措施与控制目标新版ISO 27001依然会保留SOA和附录A控制目标、控制措施的架构；因此，毫无疑问，ISO 27001的新版修订一定会与ISO 27002的修订同步进行。
     事实上，关于控制措施和控制目标的修订，也是应对新的变化的信息安全威胁和风险必须的选择；这部分的更新，在修订项目中，接受了大量的修改建议，争论也相当大，目前还没有最后的结论。
持续发展27系列支持性标准ISO 27001从诞生第一天开始就不是孤立的，为了支持信息安全管理体系标准，ISO27系列发布了一系列普遍适用和行业适用的参考标准。如下图：

    截止目前，一些支持性标准目前的状态如下表：

标准	名称	状态
ISO 27000	Overview and vocabulary	DIS
ISO 27001	Requirements	CD
ISO 27002	Code of practice for information security management	WD

     古希腊哲学家赫拉克利特因其作为辩证法的奠基人闻名于世，他曾经写道“一切皆流，无物常住”，过去几年中，国际上几乎所有行业和组织面临的信息安全风险的局势无不体现了赫氏的这一学说。变化和发展是永恒的，信息安全风险总是处在持续演进中，攻击者的手段依然会层出不穷。因此信息安全管理的实践和标准都在不断发展，我们唯一要做的就是保持警惕，随时准备抵御风险。

     如也有不清楚的可以随时在线留言，通翔顾问致力于验厂咨询.体系服务18年，累计帮助30000多家企业顺利通过各种各样验厂和体系认证。为广大客户提供一站式服务，机构遍布全国，无论是国内还是国外，都有我们公司的各个地区的辅导机构，且社会经验丰富，老师专业，拥有诸多的人脉关系，可以为工厂提供高性价比的服务，避免找不到方向，让制造厂安心、一次性顺利通过验厂和认证审核。