ISO27001标准家族是国际上公认的信息安全管理体系标准,用于指导组织如何建立、实施和维护信息安全管理体系。ISO27001:2013是该标准的最新版本,相比2005版,该版引入了一系列变更和改进。以下将详细介绍ISO27001:2013版的变化精要。
ISO27001标准起源于英国标准BS7799,该标准最初于1992年发布,之后经历了多次修订和更新。在2000年,BS7799-1标准被提交至国际标准化组织ISO,并成为ISO/IEC 17799标准。2005年,ISO/IEC 17799经过修订,形成了ISO/IEC 27001:2005标准。自那以后,ISO27001经历了进一步的更新,2013年的更新是该标准自2005年以来的首次重大更新。
ISO27001:2013版标准的变化主要集中在以下几点:
1. 结构和内容的调整:新版标准对原有结构进行了重组,更新了部分术语定义,并且增加了一些新的控制措施和控制目标。这意味着组织在实施新版标准时需要对现有的安全管理体系进行重新审视和调整。
2. 高层管理和领导参与:新版标准强调了高层管理层在信息安全管理体系中的作用,要求高层管理人员必须积极参与和推动安全管理体系的建立和维护。这一点在旧版标准中虽有提及,但在新版中被进一步强化。
3. 风险管理流程:新版标准对信息安全风险评估和风险处理流程进行了更新,使之更加灵活和有效。它要求组织必须进行定期的风险评估,并基于评估结果采取相应的风险处理措施。
4. 治理框架和角色:ISO27001:2013版对组织内部的角色和职责进行了清晰的定义,特别是提出了信息安全治理框架的概念,并要求组织应当明确信息安全的治理结构和责任分配。
5. 监控和评审:新版标准更加强调对信息安全管理体系的监控活动和定期评审的重要性。组织需要定期检查和评估信息安全管理体系的有效性,并根据检查结果进行必要的调整。
6. 换证过渡期:在ISO27001:2013版正式发布后,组织将有一个18至24个月的缓冲期来完成从旧版标准到新版标准的转换工作。这为已经获得ISO27001证书的组织提供了充足的时间进行必要的更新和调整。
7. 与ISO27002标准同步更新:新版ISO27001标准的发布,同样推动了ISO27002标准的更新,后者作为信息安全管理体系的具体实施指南。二者同步更新确保了整个标准体系的连贯性和一致性。
新版ISO27001标准的发布,对于希望确保其信息安全管理体系符合国际标准要求的组织而言,是一个重要的信息。组织需要了解和准备应对新版标准带来的变化,以保证其信息安全管理体系的持续有效性和合规性。对于已经实施旧版标准的组织,必须在缓冲期内完成对管理体系的升级和过渡,以免影响认证的有效性。
