ISO/IEC 27001:2013新版信息安全管理国际标准正式发布
与1995年首次发布的信息安全管理体系标准BS 7799相比,如今的业务开展方式已经迥然不同,科技的进步意味着信息安全需求也随之而变。2013新版标准将帮助企业进一步改变"信息安全仅限于IT" 的固有思维,并纳入了更为广泛的元素,例如人的因素。此外,新版本还充分考量了与其他管理体系标准之间的互动以及风险管理与业务连续性管理等方面的问题。
ISO/IEC 27001是全球范围内发展最为快速的管理体系标准之一。该标准用于第三方认可认证,迄今在100个国家中已签发17,500多张证书,年增长趋势呈两位 数增长。信息安全良好实践导则标准ISO/IEC 27002为该标准的使用提供了必要的支持。这两个标准均通过国际标准化组织(该组织的成员包括47个国家标准机构)达成共识的方式而制定。
BSI市场拓展部风险主管Anne Hayes表示:"企业需要持续关注在信息安全方面出现新的问题,并确保其实践惯例与当前的商业环境相符。工作场所中信息技术的飞速发展与普及性,加上人 们的网络安全重要性意识提高,意味着需要格外保持持续改进,而如今,新的标准能够带来更好的保障。"
《ISO/IEC 27001信息技术—安全技术—信息安全管理体系—要求》规定了建立、实施、维护和持续改进信息安全管理体系方面的要求。
重要变更:
- 修改标准结构,以适应所有管理体系标准中使用的新的架构,简化与其他管理体系的整合
- 新增2005版用户的反馈意见,并充分考量了最近8年的技术演变趋势
企业如何从ISO/IEC 27001中获益:
- 跻身实施此类标准的全球知名企业之列,提高企业声誉
- 识别风险,实施必要的控制措施,妥善管理或降低风险,为企业提供充分保护
- 妥善保护数据,赢得利益相关方与客户的信任
- 证明自身的合规性,获取首选供应商资质,从而增加赢得中标的机会
《ISO/IEC 27002 信息技术—安全技术—信息安全控制措施实践导则》提供了有关如何将ISO/IEC 27001用于组织信息安全标准与信息安全管理的指导方针。
重要变更:
- 删除了与ISO/IEC 27001重复的内容,使客户更加易于使用
- 修订并简化了导则,以满足新的/现有的信息安全需求
企业如何从ISO/IEC 27002中获益:
- 提供灵活的控制措施,以企业期望的方式加以使用,为其提供充分保护(单独使用、与ISO/IEC 27001共同使用,或与其他方法一同使用)
- 反映出企业面临的新威胁
最后,ISO/IEC 27001:2013采用了所有管理体系标准采用的新架构与文本内容。对于已经通过ISO 27001:2005的公司,BSI拥有一系列有效工具,能够帮助客户顺利转变到新的标准。此类工具包括培训课程、转变指南、网络研讨会与实体研讨会。