没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
ISO27000
新
©老李飞刀
版
1. 综
述
ISO/IEC 270
0
布迄今在全
球
标准 ISO/IE
C
成员包括 4
7
信息安全管
理
相关的几个
标
ISO27001:2
0
准中使用的
新
内容上更精
炼
得信息安全
从
本文为“IS
O
来研究一下
新
有限,文中
如
2. 标
准
2.1
整
新
版解读系列
文
版
权所有
I
S
述
0
1(信息安
全
球
100 多个
国
C
27002 为
该
7
个国家标
准
理
体系国际
标
标
准,包括
0
13 版(以
下
新
的架构,
简
炼
,逻辑上
更
从
业人员去
学
O
27000 标准
族
新
版标准的
变
如
有不当之
处
准
新版
与
整
体变化
文
档二
S
O270
0
全
管理体系
国
国
家中已签
发
该
ISO27001
的
准
机构)达
成
标
准新版 BS
27003,2700
4
下
简称新版)
简
化与其他
管
更
严谨,并
且
学
习、实践
。
族
新版解读
系
变
化以及如
何
处
,敬请读
者
与
旧版
的
0
1:20
1
国
际标准)
是
发
17,500 多
张
的
使用提供
了
成
共识的方
式
ISO/IEC270
0
4
,27005 亦
正
看到了许多
管
理体系的
整
且
在管理要
求
。
系
列”的第
二
何
将现有体
系
者
指正。(笔
者
的
差异
1
3 新
版
是
全球范围
内
张证书,证
书
了
必要的支
持
式
而制定。
0
1:2013 与 B
S
正
在修订中。
可喜的变化
,
整
合;删除
了
求
的定义上
变
二
篇,笔者
从
系
向新版转
换
者
的 QQ 及
邮
版
解
读
内
发展最为
快
书
数量保持
每
持
。这两个标
准
S
ISO/IEC27
0
,
包括大幅
修
了
旧版中重
复
变
得更具弹
性
从
ISMS 项目
实
换
;由 于 ISO
2
邮
箱为 4604
0
读
精要
R
快
速的管理
体
每
年两位数
增
准
均通过国
际
0
02:2013 在 2
修
改了结构,
复
、不适用
的
性
,给予组
织
实
施及咨询
顾
2
7001:2013
推
0
336@QQ.C
O
ISO27001:20
1
R
EV3
体
系标准之
一
增
长。信息
安
际
标准化组
织
2
013 年 10 月
以适应未
来
的
内容,结
构
织
更灵活的
实
顾
问的视角,
推
出不久,
笔
O
M)。
1
3 解读精要
内部公开
一
,2005 年
发
安
全最佳实
践
织
(该组织
的
已正式发布
。
来
管理体系
标
构
上更清晰,
实
施空间。
值
和大家一
起
笔
者接触时
间
发
践
的
。
标
值
起
间
ISO27000
新
©老李飞刀
版
注:图 1, IS
2.2 正文
a) 编写
架
新版编写终
于
准的要求,
行接轨、整
合
b) PDCA
与
PDCA 是旧
版
程方法 PDC
A
看,新版调
整
PDCA 了。
至
Leadership
c) 风险
评
新版简化了
对
行识别,这
化的风险评
估
李点评:实
操
的问题,包
括
新
版解读系列
文
版
权所有
O 27001:20
0
的变化
架
构
于
想到采用
了
以统一的架
构
合
。
与
持续改
进
版
标准中强
调
A
模型的描
述
整
为 Planni
至
于为什么
在
和 Plannin
g
评
估方法
对
风险识别
、
意味着组织
可
估
方法,或
继
操
层面,当
前
括
逻辑性、
可
文
档二
0
5 有 11 个
域
了
标准化的
I
构
进行描述
。
进
调
在体系建设
述
,而仅用
正
ng-Support
-
在
Planning
与
g
以保持框
架
、
风险分析
的
可
选用的风
险
继
续使用现
行
前
风险评估
可
可
操作性等,
域
、133 项控
制
I
SO Annex S
。
Annex SL
架
及
实施过程
使
正
文 10.2 中
-
Operation
-
与
Operatio
架
的简洁,
个
图 2ISO270
0
的
要求的描
述
险
评估的方
法
行
的方法(
如
可
参照的标
准
实际应用
中
制措施,IS
O
S
L通用架构(
架
构考虑了
管
使
用的过程
方
的一句“持
续
-
Performan
c
n 间插一个
个
人是不大
理
0
1:2013 文
件
述
,不再强
调
法
可以更加
宽
如
果是合理
的
准
有 ISO310
0
中
要有所取
舍
O
27001:201
3
同ISO22301
)
管
理体系间
的
方
法,新版
标
续
改进”一
言
c
e evaluati
o
Support,
而
理
解。或许
这
件
结构与 PDC
A
调
对资产责
任
宽
泛和灵活,
的
话)。新版
中
0
0,GBT209
8
舍
或综合运
用
调整为 14
个
)
,采用此
架
的
兼容性,
有
标
准中虽已
不
言
概之,但
从
o
n-Improve
m
而
不是把 Su
p
正是 BSI/I
S
A
任
人、威胁、
组织可以
根
中
依然未明
确
8
4,ISO270
0
用
)。
ISO27001:20
1
个
域、114
项
架
构的好处
在
有
利于不同
管
不
见旧版 0.
2
从
标准编写
的
m
ent,架构
上
p
port 的内
容
S
O 的特色吧
。
脆弱性这
类
根
据自身的
情
确
评估周期
0
5,但此类
标
1
3 解读精要
内部公开
项
控制措施。
在
于可将各标
管
理体系间进
2
中大段对
过
的
目录结构
上
上
其实是更
趋
容
简单纳入
到
。
类
风险要素
进
情
况,选用
简
(6.1.2)。(
老
标
准都有各
自
过
上
趋
到
进
简
老
自
ISO27000 新版解读系列文档二ISO27001:2013 解读精要
©老李飞刀 版权所有内部公开
d) 风险属主
6.1.2 识别风险中“风险属主”替代了“资产责任人”。要注意的是资产所有者未必是风险属主,风险属主可
以是资产的管理者、该风险管控的负责人(如部门领导)、或组织领导者等。(6.1.2)
e) 风险处置
组织可自行选择所需控制,而不仅限于从标准附录 A 中选择;明确了风险处置计划和残余风险需要风险属
主审批。(6.1.3)。注意,RTP 中的风险属主可能是一个人、多个人或一个代表,也包括非 IT 人员。
f) RA 参考标准
明确信息安全风险评估和风险处置过程与 ISO31000:2009 相一致。备注中的风险评估参考文件从 ISO/IEC TR
13335-3,《信息技术-IT 安全管理指南-IT 安全管理技术》变成了 ISO31000:2009。(6.1.3)
g) 信息安全目标
对信息安全目标及实现的要求独立为 6.2,6.2 中对目标的制定、沟通、测量、时间计划、更新、职责等的
要求比旧版更为明确。6.2 中提到“The organization shall establish information security objectives at relevant
functionsandlevels.”
。
h) 文档要求
旧版中 4.2Documentationrequirements 变成了新版的 7.5Documentationinformation ,对于文件“编制和更
新”的要求独立出来。旧版的 4.3.2 文件控制与 4.3.3 记录控制,合并为新版的“文件控制”。此块要求变得
精简,架构上更灵活,通用性强。而旧版 4.3.1 中对于强制性文件的要求在新版中不再有。
注:新版中的Document information,指的可能是document(文件),也可能是record(记录),其目的是为
了证明过程已经实施,表明体系的有效性。
新版中关于文档控制的要求基本不变。但要留意新版对保留过程文档信息 Documentationinformation 的要求
几乎散布了标准各个章节,包括:
4.3ScopeoftheISMS
5.2Informationsecuritypolicy
6.1.2Informationsecurityriskassessmentprocess
6.1.3Informationsecurityrisktreatmentprocess
6.1.3d)StatementofApplicability
6.2Informationsecurityobjectives
7.2d)Evidenceofcompetence
7.5.1b)Documentedinformationdeterminedbythe
organizationasbeingnecessaryfortheeffectiveness
oftheISMS
8.1Operationalplanningandcontrol
8.2Resultsoftheinformationsecurityriskassessments
8.3Resultsoftheinformationsecurityrisktreatment
9.1 Evidence of the monitoring and measurement
results
9.2 g) Evidence of the audit programme(s) and the
auditresults
9.3Evidenceoftheresultsofmanagementreviews
10.1f)Evidenceofthenatureofthenonconformities
andany
subsequentactionstaken
10.1 g) Evidence of the results of any corrective
action
对document的要求在以上标准条款中都有重复,个人觉得行文比较罗嗦,当然也可理解为BSI/ISO比之前更
加重视对管理文档化的要求。
老李点评:除了正文中的Documentation information的(通用)要求外,你还可以看到附录A的多项控制措
剩余11页未读,继续阅读
资源评论
一个IT进阶者
- 粉丝: 206
- 资源: 11
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- 基于Java和Javascript的工程建设综合管理系统材料管理模块设计源码 - material
- c51_2_2.c
- ASCII American Standard Code for Information Interchange
- 一个chm格式的 SQL 函数手册-SQL语言手册文档
- 计算当前月份的天数和剩余天数
- 基于ARM的指令调度和延迟分支
- 基于Vue和TypeScript的极简聊天应用设计源码 - HasChat
- 基于Vue2全家桶和Zcool数据的图片收集网站设计源码 - cool-picture
- 基于C和C++的二维绘制工具设计源码 - DrawPro
- Object.defineProperty 的 IE 补丁object-defineproperty-ie-master.zip
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功