ISO27001:2013 新版信息安全管理体系标准变化精解 •关于 标准 —— 基本情况 •关于新版 —— 内容精解 •关于换证 —— 解决方案 ISO27001:2005 改版ISO27001:2013 现版的信息 安全管理 体系ISO27001:2005 标准 已经使用了 8年，日前 ISO组织（国际标准化组织） 终于将新版 ISO27001:2013DIS 版（国际标准草案 Draft International Standard ）草稿向公众开放并 征求意见，预计在今年 6-7月会发布 DIS最终版 。ISO 组织公布的正式版本的颁布时间为 2013 年10月19日。 改版背景 改版影响 在新版公布后的 18至24个月内 是认证转换 缓冲 期，即原有已 取得ISO27001 证书 的企业最迟需要在 2015 年10月19日前转换到新版标准。 ISO27001 的历史发展 1992 年在英国首次作为行业标准发布，为信息安全管理提供了一个依据。 BS7799 标准最早是由英国工贸部、英国标准化协会（ BSI）组织的相关专家共同开发制定的 BS7799 BS7799-1 BS7799-2 在1998 年、1999 年经过两次修订之后出版 BS7799 -1：1999 和BS7799 -2：1999 。 ISO27002 ISO27001 2000 年4月，将 BS7799 -1：1999 提 交ISO，同年 10月获得通过成为 ISO/IEC17799 ：2000 版。 2005 年对ISO/IEC17799 ：2000 版 进行了修订，于 6月15日发布了 ISO/IEC17799 ：2005 版。 2007 年上半年正式更名为 ISO27002:2007 。 2013 年与ISO27001:2013 版同步更 新为ISO27002:2013. 2001 年修订 BS7799 -2：1999 ，同 年BS7799 -2：2000 发布。 2002 年对BS7799 -2：2000 进行了 修订发布了 BS7799 -2：2002 版。 ISO于2005 年10月15采用BS7799 -2： 2002 版本成为国际标准 - ISO/IEC27001 ：2005 版。 2013 年10月19日修订原版，正式使 用ISO/IEC27001:2013 版。 ISO27000 标准家族 序号 标准编号 标准名称 现行状态 序号 标准编号 标准名称 现行状态 1 ISO27000 信息技术 – 安全技术 - 信息安全管理体系 - 概论及术语 2009 年出版 16 ISO/IEC 27032 信息技术 – 安全技术 – 网络空间安全指南 委员会草案 2 ISO27001 信息技术 – 安全技术 - 信息安全管理体系 - 要求 2013 年改版 17 ISO/IEC 27033 -1 信息技术 – 安全技术 – 网络安全 – 第1部分：概述 和概念 2009 年出版 3 ISO/IEC 27002 信息技术 – 安全技术 - 信息安全管理 - 为规范 2013 年改版 18 ISO/IEC 27033 -2 信息技术 – 安全技术 – 网络安全 – 第2部分：设计 和实施网络安全指南 最终委员会草案 4 ISO/IEC 27003 信息技术 – 安全技术 - 信息安全管理体系 - 实施指南 2010 年出版 19 ISO/IEC 27033 -3 信息技术 – 安全技术 – 网络安全 – 第3部分：参考 网络情境 – 威胁、设计技术和控制活动 最终委员会草案 5 ISO/IEC 27004 信息技术 – 安全技术 - 信息安全管理 - 测量 2009 年出版 20 ISO/IEC 27033 -4 信息技术 – 安全技术 – 网络安全 – 第4部分：使用 安全网关确保网络间的通信安全 – 威胁、设计技术 和控制活动 工作组草案 6 ISO/IEC 27005 信息技术 – 安全技术 - 信息安全风险管理 2008 年出版 21 ISO/IEC 27034 -1 应用安全 – 第1部分：概述和概念 最终委员会草案 7 ISO/IEC 27006 信息技术 – 安全技术 - 认证机构要求 2007 年出版 22 ISO/IEC 27034 -2 应用安全 – 第2部分：组织规范性框架 批准的新项目 8 ISO/IEC 27007 信息技术 – 安全技术 - 信息安全管理体系审核指南 委员会草案 23 ISO/IEC 27034 -3 应用安全 – 第3部分：应用安全管理过程 批准的新项目 9 ISO/IEC 27008 控制审核员指南 委员会草案 24 ISO/IEC 27034 -4 应用安全 – 第4部分：应用安全确认 批准的新项目 10 ISO/IEC 27010 行业间交流的信息安全管理 工作组草案 25 ISO/IEC 27034 -5 应用安全 – 第5部分：协议和应用安全控制的数据结 构 批准的新项目 11 ISO/IEC 27011 信息技术 – 安全技术 - 基于ISO/IEC 27002 通讯行业信息 安全管理体系 2008 年出版 26 ISO/IEC 27035 信息技术 – 安全技术 – 信息安全事件管理 最终委员会草案 12 ISO/IEC 27013 信息技术 – 安全技术 -? ISO/IEC 20000 -1及 ISO/IEC 27001 一体化实施指南 工作组草案 27 ISO/IEC 27036 信息技术 – 安全技术 – 外包安全指南 批准的新项目 13 ISO/IEC 27014 信息安全治理框架 工作组草案 28 ISO/IEC 27037 识别、收集、获取和保存数字证据指南 工作组草案 14 ISO/IEC 27015 金融及保险行业信息安全管理体系 批准的项目 29 ISO/IEC 27038 信息技术 – 安全技术 – 数字化修订详述 批准的新项目 15 ISO/IEC 27031 信息技术 – 安全技术 – 业务连续性的 ICT准备能力指南 最终委员会草案 •关于 标准 —— 基本情况 •关于新版 —— 内容精解 •关于换证 —— 解决方案 新标准特点 •在新版 当中采用 ISO导则83做结构性要求 ，这个结构未来在 ISO其他标准改版中会普遍采用。（ ISO 22301 已应用） •附录A中将旧版 11个控制领域拓展到 14个，结构更合理， 表现更清晰。 新标 特点 1.采用 新结构 2.控制 更精益 3.引入 新重点 •附录A中将旧版 133个控制项缩减到 113个（未来仍可能有 改动） 。 •将通信与操作管理领域拆分为通信安全与操作安全两个领 域，比旧版标准更清晰的反应了实际的需求。 •将旧版业务连续性管理更新为信息安全方面的业务连续性 管理，表述更准确。 •通过 合并重复 的控制项来精炼控制项的构成（如变更 管理 在不同的领域中有重复就予以 合并）。 •将原分布在各领域的加密及供应链管理控制 项级别提升，组成新领域，形成新重点，以 反 映目前信息安全的发展趋势。 •新增了 智能型 装置管理的控制项 •强化ICT供应 链委 外管理的要求 •完善了系统开发 项目管理的信息安全 要求 新标准正文部分架构变化 在新版 中采用 ISO导则83做结构性要求 ，从8个章节拓展到 10个章节，重新构建了 ISO标准PDCA 的 章节架构，这个结构在已发布的 ISO22301 中已经进行了应用，未来将在 ISO其他标准改版中会普 遍采用（包括 ISO9000 、ISO20000 等）。 Tips： 内容 新调整 5. 领导力  领导力和承诺  方针  角色、责任和承诺 4. 组织的背景  理解组织现状及背景  利益相关方的期望  ISMS 的范围  ISMS 6. 计划  处理风险和机遇的行动  可实现的 IS目标和计划 7. 支持  资源  能力  意识  沟通  文档信息 Plan 8. 运行  运行计划及控制  信息安全风险评估  信息安全风险处置 Do 9. 绩效评价  监控、度量、分析和评价  内部审核  管理评审 Check 10. 改进  不符合及纠正措施  持续改进 Act 4 5 6 7 8 9 10 新标准正文部分内容构成 27001:2005 4.1建立ISMS ISO 27001:2013 4.组织的背景 通过以下方面定义 ISMS 的范围和 边界： •业务的特点 ; •组织; •位置; •资产和技术 ; •任何范围删减 的细节与合理性。 通过确定 外部和内部 的情况，判断有关 ISMS 目的 和影响，以实现预期 的结果。 确定ISMS 相关的 要求与信息安全相关的利害 关系人。 通过以下方面，确定 ISMS 的边界和适用性， 建立ISMS