您现在的位置:首页 -> 新闻中心 -> 行业新闻
新版ISO27001:从信息安全管理到治理
发布者:天津亿洲企业管理服务有限公司    发布日期:2014-02-24 17:36:47

     最新版的ISO27001已经于2013年10月1日正式发布,新版标准反映了与业务的融合,与全面风险管理的融合,与治理的融合,体现在新标准中对绩效的重视,对风险评估方法论的修改。这与IT治理的目标也高度一致。

IT治理的驱动力意在从董事会等治理层面确立IT的价值,投资的决策机制,确保IT战略与业务战略的一致性,革新性地驱动业务的发展。信息安全管理新标准从风险与成本的平衡过渡到要定期报告信息安全管理绩效,反应了信息安全管理标准的发展进入成熟期,也反应了治理层面更加重视对信息安全投入的预期的监控,同时对风险管理的度量也是相关方,管理层共同关心的话题。(见标准条款5.1e, 5.3b, 6.1.1a, 6.1.1.e2,9.1)

信息安全的目标是与业务的发展目标高度一致,因此新标准要求信息安全风险管理要聚焦信息,而信息是融合在整个业务流程中,新的标准摒弃了原来识别资产,资产威胁与脆弱性的方法论,肯定了管理层面以业务价值为基础,识别信息,确定信息的价值,也很方便与其他以业务流程为基础的ISO管理标准相融合。(见标准条款5.1a/b, 6.1.2)

由于更加关注业务,新标准要求对业务,对组织目标的理解从内外部环境,包括宏观政策,技术发展,行业动向,微观的组织环境来分析。环境因素对业务的影响,对信息安全的要求。管理层重视信息安全管理目标如何支持业务战略。(见标准条款 4.1, 4.2, 5.1a, 5.2a)

信息安全风险在新标准里变得更加生动,中性,风险也可能意味着机会。新标准要求定义风险责任人,这个责任人更可能是业务的负责人或某项具体活动的负责人,而不仅仅是IT人员。对信息安全风险的偏好与态度完全与组织的全面风险管理框架相融合。 (见标准条款 6.1.1.d/e,6.1.2.C2; )

IT技术对新标准的影响

云技术的广泛应用,外包业务的兴起,供应链的安全风险管理从组织的战略层面到日常运作层面都要识别,利用,控制。新增供应链关系管理,关注供应链关系中的信息安全,服务商交付过程的信息安全。(见标准条款4.3.c;8.1, A.15)

同时,大数据的兴起,数据泄露的风险加大,标准将加密控制从一个控制目标项上升为一个控制域。(见标准条款 A.10)

移动互联从生活到办公,新增移动设备使用的安全策略。(见标准条款 A.6.2.1)

组织层面除了日常运作,还需特别考虑项目的信息安全管理,这是新增控制项,同时完善了系统开发的全生命周期的信息安全管理,包括需求分析,开发环境,测试数据保护,测试验收,变更管理,开发外包管理等控制项。(见标准条款A.6.1.5, A.14.1/2/3)

新技术和风险点的出现,风险处理采取的控制措施不再拘泥于附录A。附录A仅作为基本必须的选项。(见标准条款 6.1.3c)

标准结构

从结构来说,新版标准与其他ISO系列标准的框架完全一致,遵从ISO导则83,这是ISO管理体系认证标准的基本框架,方便与ISO其他管理体系的整合。

新标准的框架摘录如下

0 介绍

1 范围

2 规范性引用文件

3 术语与定义

4 组织的情景, 这部分与ISO31000保持一致

5 领导力, 特别要求高层指导,支持信息安全人员致力于提高管理有效性,展示他们在各自负责领域的领导力

6 策划

7 支持, 这部分包括资源,为组织服务的人员能力,信息安全意识要求,特别要求制定就信息安全的内外部沟通的流程。

8 日常运作,描述ISMS实施要求,包括信息安全风险评估和处置;

9 绩效评审,描述监视,测量和评审活动的要求;

10 改进,描述改善活动的要求;其中取消了预防措施,风险管理本身就是主动的预防。