信息安全管理体系ISO27001_2013新版解析

信息安全管理体系ISO27001_2013新版解析 信息安全管理体系（Information Security Management System, ISMS）是组织为了保护信息资产的安全而建立、实施、运行、监控、审核、维护和改进的一系列管理体系。ISO27001是国际上广泛认可的信息安全管理标准，它为组织提供了一个建立、实施和维护信息安全管理的框架。ISO27001:2013是在2005版基础上进行的修订，也是信息安全领域的国际标准。 ISO27001:2013新版标准是在ISO27001:2005版标准使用了8年后发布的。新版标准的变化精解主要体现在以下几个方面： 1. 标准名称变化：ISO27001:2013版相较于2005版，在正式发布时对标准名称进行了轻微调整，以反映与ISO/IEC 27002:2013的同步更新。 2. 结构和内容调整：新版标准在结构上进行了调整，将原来的11个控制领域扩展到了14个。同时，对一些控制措施进行了合并、拆分或重新描述，以增强控制措施的相关性和适用性。 3. 更新了术语：新版标准在附录A中更新了控制措施的名称和定义，以反映当前信息安全领域的术语变化。 4. 对条款进行了重新分配：新版标准对一部分条款进行了重新分配，以提高标准的可读性和连贯性。 5. 引入了风险管理概念：新版标准强调了风险评估和风险处理的重要性，强调了基于风险的方法。 6. 引入了持续改进的概念：新版标准不仅关注于信息安全管理体系的实施，还强调了持续改进和监督的重要性。 关于标准的基本情况，ISO27001:2013版正式颁布于2013年10月19日。在此之前，ISO组织向公众开放了DIS版草稿，即国际标准草案（Draft International Standard），并征求了公众意见。新版标准的发布，为信息安全领域提供了最新的实践指导和管理方法。 新版ISO27001标准的改版背景是ISO27001:2005标准已经使用了8年，ISO组织在经过广泛的研究、咨询和分析后，决定对其进行修订。改版的目的是为了更好地适应信息安全环境的变化，满足组织对信息安全管理体系的新需求。 ISO27001的历史发展可以追溯到1992年英国首次发布的BS7799标准。BS7799标准最早由英国工贸部、英国标准化协会（BSI）组织的相关专家共同开发制定。BS7799标准经历了1998年和1999年的两次修订，并在2000年和2002年分别演变成了ISO/IEC 17799:2000和ISO/IEC 17799:2002。ISO组织于2005年采用BS7799-2:2002版本成为国际标准ISO/IEC 27001:2005版。2013年10月19日，ISO组织修订了原版，正式使用ISO/IEC 27001:2013版。 新版标准ISO27001:2013的发布，对于已经获得ISO27001证书的企业而言，面临着一个认证转换缓冲期。这个缓冲期从新版公布后的18至24个月内开始，即原有已取得ISO27001证书的企业最迟需要在2015年10月19日前转换到新版标准。 ISO27000标准家族包括多个标准，每个标准都聚焦于信息安全管理体系的不同方面。例如： - ISO27000提供了信息安全管理体系的概论及术语。 - ISO27001提出了信息安全管理体系的要求，是实施ISMS的主要标准。 - ISO27002是一组信息安全管理实践的控制措施，为ISMS提供了规范。 - ISO27003、ISO27004和ISO27005等分别涉及信息安全管理体系的实施指南、测量和风险管理。 - ISO27011是通讯行业信息安全管理体系的标准。 - ISO27013是一份关于ISO27001和ISO20000-1整合实施指南的文件。 - ISO27035提供了信息安全事件管理的指南。 - ISO27036涉及外包安全的指南。 这些标准构成了ISO27000标准家族，为信息安全管理体系的不同方面提供了全面的指导和支持。随着信息安全威胁的不断演变和技术的不断进步，该标准家族也在持续更新和完善，以帮助组织应对新的挑战和要求。