國家認證認可監(jiān)督委員會批準認證咨詢機構(gòu)
批準號:CNCA-Z-01Q-2006-038
聯(lián)系電話
全國:010-56542716
天津:022-27810977
國家認證認可監(jiān)督委員會批準認證咨詢機構(gòu)
批準號:CNCA-Z-01Q-2006-038
全國:010-56542716
天津:022-27810977
服務項目
一,、ISO/IEC27001:2013正式實施
ISO組織在現(xiàn)行ISO/IEC27001:2005標準使用8年后,在眾多組織的呼聲中,,于2013年9月26日推出正式版本ISO/IEC27001:2013信息安全管理體系標準,。新標準與原標準的變化主要體現(xiàn)在以下幾方面。
1,、標準正文變化,。
ISO指引2012版AnnexSL對管理體系標準在結(jié)構(gòu)、格式,、通用短語和定義方面進行了統(tǒng)一,。這將確保今后編 制或修訂的管理體系標準的持續(xù)性、整合性和簡單化,,這也將使標準更易讀,、易懂。采用AnnexSL頒布的管理體系標準已有:ISO22301,,ISO20121,,ISO30301,ISO27001,,將來發(fā)布的ISO9001:2015和ISO14001:2015都將采用相同的框架結(jié)構(gòu),。見附表。
3章 | 前言,、范圍,、規(guī)范性引用文件、術(shù)語和定義 | |
P | 47章 | 組織環(huán)境,、領(lǐng)導力,、策劃和支持 |
D | 8章 | 運行 |
C | 9章 | 績效評價 |
A | 10章 | 改進 |
2,、風險管理變化。
新版的ISO27001標準中信息安全風險管理要求與ISO31000:2009(風險管理-原則和指引)保持一致,,并遵從其中的定義,,這樣讓信息安全風險管理更容易與企業(yè)級風險管理集成。
3,、標準附錄變化,。
新版ISO27001依然保留適用性聲明(SoA)和附錄A控制目標、控制措施的架構(gòu),;由原來的11個控制域39 個控制目標133個控制措施修訂為14個控制域35個控制目標114個控制措施,,這些控制目標和控制措施突顯了加密管理、供應鏈管理的重要性,;增強了控制域的結(jié)構(gòu)性和系統(tǒng)性,;同時減少對技術(shù)實現(xiàn)的關(guān)注,增加對管理控制的要求,??刂拼胧┳兓涸黾?3個、刪除25個,、合并減少7個,,總計減少了19個。
4,、認證轉(zhuǎn)換時間,。
通過英國皇家認可委員會(UKAS)獲悉:已確認標準正式發(fā)布日期為2013年10月1日,認證過渡期為兩年,,從2013年10月1日至2015年09月30日,。已獲證企業(yè)最遲需要在2015年9月30日前的監(jiān)督審核或換證審核時將符合2005版的管理體系認證轉(zhuǎn)換到2013新版標準。
二,、企業(yè)應以改版為契機提升信息安全管理
在全球聚焦信息安全的背景下,,建議企業(yè)通過采取如下措施,以改版為契機提升企業(yè)信息安全管理,。
1,、企業(yè)管理者代表或其他負責人積極參加新版標準解讀或相關(guān)研討會了解標準改版內(nèi)容,用于領(lǐng)導和策劃改版工作,;企業(yè)內(nèi)部審核員,、風險評估小組成員參加專業(yè)技術(shù)培訓,了解改版方向,。
2,、在企業(yè)人員了解標準改版方向及要點后,應該內(nèi)部進行風險管理檢查,評估原有風險管理程序和風險評估過程記錄,,修訂程序,,進行風險再評估,從原來的信息資產(chǎn)關(guān)注轉(zhuǎn)換為業(yè)務風險和相關(guān)方影響關(guān)注,。
3,、進行體系文件升級,根據(jù)新標準要求并結(jié)合風險再評估結(jié)果,,主要對手冊,、SoA、制度和表格進行修訂,,并重點關(guān)注職責權(quán)限,、信息安全管理目標、利益相關(guān)方的信息安全需求收集,、供應鏈信息安全風險的考慮,。
4、對體系運行評審,,修訂后體系在運行一段時間后,,組織利用信息安全目標、有效性測量,、內(nèi)部審核、管理評審等評審工具對體系的運行進行評審,,以迎接新版的外部評審,。
關(guān)注卓越空間
關(guān)注卓越微博
關(guān)注卓越微信