ISO信息安全管理国标新版解读精要资源-CSDN文库

ISO27001

信息安全

需积分: 3 165 浏览量 2023-02-28 08:53:55 上传评论收藏 496KB PDF 举报

资源推荐

资源详情

资源评论

ISO27000

新

©老李飞刀

版



1. 综

述

ISO/IEC 270

布迄今在全

球

标准 ISO/IE

成员包括 4

信息安全管

理

相关的几个

标

ISO27001:2

准中使用的

新

内容上更精

炼

得信息安全

从

本文为“IS

来研究一下

新

有限，文中

如

2. 标

准

2.1

整

新

版解读系列

文

版

权所有

述

1（信息安

全

球

100 多个

国

27002 为

该

个国家标

准

理

体系国际

标

准，包括

13 版（以

下

新

的架构，

简

炼

，逻辑上

更

从

业人员去

学

27000 标准

族

新

版标准的

变

如

有不当之

处

准

新版

与

整

体变化

文

档二 



O270

全

管理体系

国

家中已签

发

该

ISO27001

的

准

机构）达

成

标

准新版 BS

27003,2700

下

简称新版）

简

化与其他

管

更

严谨，并

且

学

习、实践

。

族

新版解读

系

变

化以及如

何

处

，敬请读

者

与

旧版

的



1:20

国

际标准）

是

发

17,500 多

张

的

使用提供

了

成

共识的方

式

ISO/IEC270

,27005 亦

正

看到了许多

管

理体系的

整

且

在管理要

求

。



系

列”的第

二

何

将现有体

系

者

指正。(笔

者

的

差异



3 新

版

是

全球范围

内

张证书，证

书

了

必要的支

持

式

而制定。

1:2013 与 B

正

在修订中。

可喜的变化

，

整

合；删除

了

求

的定义上

变

二

篇，笔者

从

系

向新版转

换

者

的 QQ 及

邮



版

解

读

内

发展最为

快

书

数量保持

每

持

。这两个标

准

ISO/IEC27



，

包括大幅

修

了

旧版中重

复

变

得更具弹

性

从

ISMS 项目

实

换

；由于 ISO

邮

箱为 4604



读

精要

快

速的管理

体

每

年两位数

增

准

均通过国

际

02:2013 在 2

修

改了结构，

复

、不适用

的

性

，给予组

织

实

施及咨询

顾

7001:2013

推

336@QQ.C

 ISO27001:20



EV3



体

系标准之

一

增

长。信息

安

际

标准化组

织

013 年 10 月

以适应未

来

的

内容，结

构

织

更灵活的

实

顾

问的视角，

推

出不久，

笔

M)。

3 解读精要

 内部公开

一

，2005 年

发

安

全最佳实

践

织

（该组织

的

已正式发布

。

来

管理体系

标

构

上更清晰，

实

施空间。

值

和大家一

起

笔

者接触时

间

发

践

的

。

标

值

起

间

ISO27000

新

©老李飞刀

版



注：图 1, IS

2.2 正文

a) 编写

架

新版编写终

于

准的要求，

行接轨、整

合

b) PDCA

与

PDCA 是旧

版

程方法 PDC

看，新版调

整

PDCA 了。

至

Leadership

c) 风险

评

新版简化了

对

行识别，这

化的风险评

估

李点评：实

操

的问题，包

括

新

版解读系列

文

版

权所有

O 27001:20

的变化

架

构

于

想到采用

了

以统一的架

构

合

。

与

持续改

进

版

标准中强

调

模型的描

述

整

为 Planni

至

于为什么

在

和 Plannin

评

估方法

对

风险识别

、

意味着组织

可

估

方法，或

继

操

层面，当

前

括

逻辑性、

可

文

档二 



5 有 11 个

域

了

标准化的

构

进行描述

。

进



调

在体系建设

述

，而仅用

正

ng-Support

在

Planning

与

以保持框

架

、

风险分析

的

可

选用的风

险

继

续使用现

行

前

风险评估

可

操作性等，



域

、133 项控

制

SO Annex S

。

Annex SL

架

及

实施过程

使

正

文 10.2 中

Operation

与

Operatio

架

的简洁，

个

图 2ISO270

的

要求的描

述

险

评估的方

法

行

的方法（

如

可

参照的标

准

实际应用

中



制措施，IS

L通用架构(

架

构考虑了

管

使

用的过程

方

的一句“持

续

Performan

n 间插一个

个

人是不大

理

1:2013 文

件

述

，不再强

调

法

可以更加

宽

如

果是合理

的

准

有 ISO310

中

要有所取

舍



27001:201

同ISO22301

)

管

理体系间

的

方

法，新版

标

续

改进”一

言

e evaluati

Support，

而

理

解。或许

这

件

结构与 PDC

调

对资产责

任

宽

泛和灵活，

的

话）。新版

中

0，GBT209

舍

或综合运

用



调整为 14

个

)

，采用此

架

的

兼容性，

有

标

准中虽已

不

言

概之，但

从

n-Improve

而

不是把 Su

正是 BSI/I



任

人、威胁、

组织可以

根

中

依然未明

确

4，ISO270

用

）。

 ISO27001:20



个

域、114

项

架

构的好处

在

有

利于不同

管

不

见旧版 0.

从

标准编写

的

ent，架构

上

port 的内

容

O 的特色吧

。



脆弱性这

类

根

据自身的

情

确

评估周期

5，但此类

标

3 解读精要

 内部公开

项

控制措施。

在

于可将各标

管

理体系间进

中大段对

过

的

目录结构

上

其实是更

趋

容

简单纳入

到

。

类

风险要素

进

情

况，选用

简

（6.1.2）。（

老

标

准都有各

自

过

上

趋

到

进

简

老

自

ISO27000 新版解读系列文档二ISO27001:2013 解读精要



d) 风险属主

6.1.2 识别风险中“风险属主”替代了“资产责任人”。要注意的是资产所有者未必是风险属主，风险属主可

以是资产的管理者、该风险管控的负责人（如部门领导）、或组织领导者等。（6.1.2）

e) 风险处置

组织可自行选择所需控制，而不仅限于从标准附录 A 中选择；明确了风险处置计划和残余风险需要风险属

主审批。（6.1.3）。注意，RTP 中的风险属主可能是一个人、多个人或一个代表，也包括非 IT 人员。

f) RA 参考标准

明确信息安全风险评估和风险处置过程与 ISO31000:2009 相一致。备注中的风险评估参考文件从 ISO/IEC TR

13335-3，《信息技术-IT 安全管理指南-IT 安全管理技术》变成了 ISO31000:2009。（6.1.3）

g) 信息安全目标

对信息安全目标及实现的要求独立为 6.2，6.2 中对目标的制定、沟通、测量、时间计划、更新、职责等的

要求比旧版更为明确。6.2 中提到“The organization shall establish information security objectives at relevant

functionsandlevels.”

。

h) 文档要求

旧版中 4.2Documentationrequirements 变成了新版的 7.5Documentationinformation ，对于文件“编制和更

新”的要求独立出来。旧版的 4.3.2 文件控制与 4.3.3 记录控制，合并为新版的“文件控制”。此块要求变得

精简，架构上更灵活，通用性强。而旧版 4.3.1 中对于强制性文件的要求在新版中不再有。

注：新版中的Document information，指的可能是document（文件），也可能是record（记录），其目的是为

了证明过程已经实施，表明体系的有效性。

新版中关于文档控制的要求基本不变。但要留意新版对保留过程文档信息 Documentationinformation 的要求

几乎散布了标准各个章节，包括：



4.3ScopeoftheISMS

5.2Informationsecuritypolicy

6.1.2Informationsecurityriskassessmentprocess

6.1.3Informationsecurityrisktreatmentprocess

6.1.3d)StatementofApplicability

6.2Informationsecurityobjectives

7.2d)Evidenceofcompetence

7.5.1b)Documentedinformationdeterminedbythe

organizationasbeingnecessaryfortheeffectiveness

oftheISMS

8.1Operationalplanningandcontrol

8.2Resultsoftheinformationsecurityriskassessments

8.3Resultsoftheinformationsecurityrisktreatment

9.1 Evidence of the monitoring and measurement

results

9.2 g) Evidence of the audit programme(s) and the

auditresults

9.3Evidenceoftheresultsofmanagementreviews

10.1f)Evidenceofthenatureofthenonconformities

andany

subsequentactionstaken

10.1 g) Evidence of the results of any corrective

action

对document的要求在以上标准条款中都有重复，个人觉得行文比较罗嗦，当然也可理解为BSI/ISO比之前更

加重视对管理文档化的要求。

老李点评：除了正文中的Documentation information的（通用）要求外，你还可以看到附录A的多项控制措

剩余11页未读，继续阅读

评论收藏

内容反馈

一个IT进阶者

粉丝: 206
资源: 11

ISO信息安全管理国标新版解读精要

ISO27001-2013-信息安全管理国标新版解读精要

ISO27001信息安全管理国标新版解读精要.pdf

ISO27001信息安全管理国标新版解读精要.docx

ISO27000系列资料大合集.zip

ISO 27000系列 信息安全管理资料合集（10份）.zip

ISO27000整理中文版.zip

ISO9001质量管理体系标准讲解.pdf

国标：信息安全管理体系审核指南

ISO20000信息技术服务管理体系国家标准

国家标准《信息安全技术ICT供应链安全风险管理指南》(草案)编制说明.docx

GBT 22080-2008 :iso27001 信息安全管理体系要求

GB-T 32960国标重点解读

920信息安全管理制度(守则)国家标准送审稿

GB 32960国标重点解读

电力系统信息安全日常运维标准化管理 (3).docx

国家标准信息安全技术ICT供应链安全风险管理指引草案编制.pdf

ISO22000：2018标准（食品安全管理体系最新标准）-中文版.pdf

信息安全国家标准目录

相关实用应用程序（Windows可用）

免费可用的ChatGPT网页版.zip

ChatGPT使用总结：150个ChatGPT提示词模板（完整版）

chromedriver-win64.zip

李飞飞自传 我看见的世界 The World I see

全国计算机二级WPSoffice精选350道选择题题库（含答案）.pdf

哈尔滨工业大学-ChatGPT调研报告-2023.3.6-94页.pdf

农村公交与异构无人机协同配送优化

4个亲测好用的ChatGPT4渠道

学术海报模板+论文科研+研究生

最新资源

ISO 27000系列信息安全管理资料合集（10份）.zip

李飞飞自传我看见的世界 The World I see