新版本ISO 27001的主要改動
標準名稱和范圍的擴展:
新版ISO 27001的官方標準名稱已更新為《信息安全、網絡安全和隱私保護 信息安全管理體系 要求》。這一變化表明,標準的覆蓋范圍已從原本的“信息技術 安全技術”擴展至“信息安全、網絡安全和隱私保護”,以更好地反映當前的信息安全威脅和挑戰(zhàn)。
控制框架結構的重新構建:
附錄A中的信息安全控制框架結構進行了重新構建,從2013版的14個安全控制域合并后總結歸納為人員、物理、技術、組織四大主題。這樣的分類更加簡單明了,便于組織對安全控制項進行選擇歸類,以加強信息安全控制措施的實施。
控制項的變化:
控制項的數(shù)量從114個減少到93個,其中新增了11個控制項,更新了58個控制項,并合并了24個控制項。新增的控制項主要集中在組織控制和技術控制兩個主題,包括威脅情報、云服務、業(yè)務連續(xù)性、數(shù)據(jù)安全、配置管理等方面。
增加了控制措施的屬性:
新版標準對控制措施增加了5個屬性,分別為控制類型、信息安全屬性、網絡概念、運營能力和安全域。這些屬性有助于組織根據(jù)不同的需求和受眾,對控制措施進行分類和篩選。
變更計劃和管理評審的調整:
新版標準增加了6.3變更計劃的要求,并對9.2內部審計和9.3管理評
審進行了調整,以更好地支持組織對信息安全管理體系的持續(xù)改進和優(yōu)化。
企業(yè)需要注意的事項
及時了解和適應新標準:
企業(yè)應密切關注ISO 27001標準的更新動態(tài),及時獲取新版本的詳細信息,并理解其變化對企業(yè)信息安全管理體系的影響。
評估現(xiàn)有體系與新標準的符合性:
企業(yè)應對現(xiàn)有的信息安全管理體系進行全面評估,確定其與新版ISO 27001標準的符合程度和差距。這有助于企業(yè)明確需要改進的領域和方向。
制定轉版計劃:
對于已經獲得舊版ISO 27001認證的企業(yè),應制定詳細的轉版計劃,包括轉版的時間表、資源投入、人員培訓等。企業(yè)需要在規(guī)定的時間內完成轉版認證工作,以確保其信息安全管理體系的有效性和合規(guī)性。
更新和完善控制措施:
根據(jù)新版標準的要求,企業(yè)需要更新和完善其信息安全控制措施。特別是針對新增的控制項和屬性,企業(yè)需要制定相應的管理制度和流程,并確保其得到有效執(zhí)行。
加強培訓和意識提升:
企業(yè)應加強對員工的信息安全培訓和意識提升工作。通過培訓,使員工了解新版標準的要求和變化,提高其信息安全素養(yǎng)和應對能力。
持續(xù)改進和優(yōu)化:
企業(yè)應將持續(xù)改進和優(yōu)化作為信息安全管理體系的重要工作之一。通過定期的內審和外審,及時發(fā)現(xiàn)和解決存在的問題,并不斷優(yōu)化和完善其信息安全管理體系。
新版本ISO 27001的改動對企業(yè)的信息安全管理體系
提出了更高的要求和挑戰(zhàn)。
企業(yè)需要積極應對這些變化,
通過及時了解新標準、評估現(xiàn)有體系、制定轉版計劃、
更新控制措施、加強培訓和意識提升以及持續(xù)改進和優(yōu)化
等措施,
確保其信息安全管理體系的有效性和合規(guī)性。
更多內容:
市場監(jiān)管總局(國家標準委)新發(fā)布多項國家標準,引領行業(yè)綠色創(chuàng)新與可持續(xù)發(fā)展
