新版本ISO 27001的主要改動
標準名稱和范圍的擴展:
新版ISO 27001的官方標準名稱已更新為《信息安全、網絡安全和隱私保護 信息安全管理體系 要求》。這一變化表明,標準的覆蓋范圍已從原本的“信息技術 安全技術”擴展至“信息安全、網絡安全和隱私保護”,以更好地反映當前的信息安全威脅和挑戰。
控制框架結構的重新構建:
附錄A中的信息安全控制框架結構進行了重新構建,從2013版的14個安全控制域合并后總結歸納為人員、物理、技術、組織四大主題。這樣的分類更加簡單明了,便于組織對安全控制項進行選擇歸類,以加強信息安全控制措施的實施。
控制項的變化:
控制項的數量從114個減少到93個,其中新增了11個控制項,更新了58個控制項,并合并了24個控制項。新增的控制項主要集中在組織控制和技術控制兩個主題,包括威脅情報、云服務、業務連續性、數據安全、配置管理等方面。
增加了控制措施的屬性:
新版標準對控制措施增加了5個屬性,分別為控制類型、信息安全屬性、網絡概念、運營能力和安全域。這些屬性有助于組織根據不同的需求和受眾,對控制措施進行分類和篩選。
變更計劃和管理評審的調整:
新版標準增加了6.3變更計劃的要求,并對9.2內部審計和9.3管理評
審進行了調整,以更好地支持組織對信息安全管理體系的持續改進和優化。
企業需要注意的事項
及時了解和適應新標準:
企業應密切關注ISO 27001標準的更新動態,及時獲取新版本的詳細信息,并理解其變化對企業信息安全管理體系的影響。
評估現有體系與新標準的符合性:
企業應對現有的信息安全管理體系進行全面評估,確定其與新版ISO 27001標準的符合程度和差距。這有助于企業明確需要改進的領域和方向。
制定轉版計劃:
對于已經獲得舊版ISO 27001認證的企業,應制定詳細的轉版計劃,包括轉版的時間表、資源投入、人員培訓等。企業需要在規定的時間內完成轉版認證工作,以確保其信息安全管理體系的有效性和合規性。
更新和完善控制措施:
根據新版標準的要求,企業需要更新和完善其信息安全控制措施。特別是針對新增的控制項和屬性,企業需要制定相應的管理制度和流程,并確保其得到有效執行。
加強培訓和意識提升:
企業應加強對員工的信息安全培訓和意識提升工作。通過培訓,使員工了解新版標準的要求和變化,提高其信息安全素養和應對能力。
持續改進和優化:
企業應將持續改進和優化作為信息安全管理體系的重要工作之一。通過定期的內審和外審,及時發現和解決存在的問題,并不斷優化和完善其信息安全管理體系。
新版本ISO 27001的改動對企業的信息安全管理體系
提出了更高的要求和挑戰。
企業需要積極應對這些變化,
通過及時了解新標準、評估現有體系、制定轉版計劃、
更新控制措施、加強培訓和意識提升以及持續改進和優化
等措施,
確保其信息安全管理體系的有效性和合規性。
更多內容:
市場監管總局(國家標準委)新發布多項國家標準,引領行業綠色創新與可持續發展
