ISO/IEC 27001:2013已公佈,查看更多新標準以及過渡期方案的相關事項
國際知名的資訊安全管理標準(ISO/IEC 27001)以及附帶的 ISO/IEC 27002「 資訊安全管理控制實行細則Code of practice for information security management controls」已經修訂。
隨著最初國際標準草案(draft international standard, DIS)的公佈以及來自各介的公眾諮詢,無論是ISO/IEC 27001或 ISO/IEC 27002都已通過國際標準最終草案(final draft standard, FDIS)的投票表決,並進入到最終公佈的階段。
主要的改變有哪些?
- 修訂的標準是以所有管理系統標準間通用的ISO新版高階格式撰寫,因此,在執行一個以上的管理系統時可讓整合變得更容易。
- 專業詞彙/術語已被修改,且部分定義已被重安排或移除
- 與ISO/IEC 31000使用一致的風險審查的要求
- 管理承諾的要求將著重在”領導統御”的章節
- 以“解決風險之行動與機會”取代”預防措施”
- 與SOA的要求相似,需要更清晰的風險處理程序的來確定控制措施的落實
- 修改附錄A中的控制措施與項目,以反映不斷變化的威脅、合併或移除重複的控制措施並具有更多邏輯組合
- 更加強調設定目標,監控績效和指標
我對ISO/IEC 27001的驗證有興趣 – 該如何做?
目前的標準仍然有效,您還是可以依此獲得驗證。
如果您已經計畫執行ISO/IEC 27001管理系統,只要現場到訪是在接下來的12個月之內完成,我們仍可依據ISO/IEC 27001:2005標準為您進行稽核;之後,在您持續的現場稽核中,雙方於過渡期間合作完成轉換ISO/IEC 27001:2013版本。
如果您還在採用ISO/IEC 27001的早期階段,或無法在接下來的12個月之內安排到訪稽核,我們會建議您朝ISO/IEC 27001:2013驗證的方向進行。
返回ISO/IEC 27001網頁以查看我們如何在驗證的過程中協助您。
我目前有ISO/IEC 27001的驗證 – 我該做些甚麼?
身為目前ISO/IEC 27001:2005驗證過的客戶,我們會確認您已獲得所有必需的資訊和工具,以了解此標準的改變。我們也會和您合作,在接下來的兩年內您所規劃好的驗證稽核訪問中完成過渡。
您可以取得免費的過渡指南,以對主要差異有概括的了解,並指出您應該考慮的各項關鍵方面的重點