發(fā)布時間：2018/5/8 14:10:14   發(fā)布來源：xfhp298.cn    作者：通翔顧問

  自2005年國際標(biāo)準(zhǔn)化組織(簡稱:ISO)將BS 7799轉(zhuǎn)化為ISO27001認(rèn)證：2005發(fā)布以來，此標(biāo)準(zhǔn)在國際上獲得了空前的認(rèn)可，相當(dāng)數(shù)量的組織采納并進(jìn)行了信息安全管理體系的認(rèn)證, 至2011年底，國際上頒發(fā)的ISO 27001認(rèn)證證書總數(shù)約為15625張(其中，BSI的市場占有率達(dá)約為45.65%)。在我國，自從2008年將ISO 27001:2005轉(zhuǎn)化為國家標(biāo)準(zhǔn)GB/T 22080:2008以來，信息安全管理體系認(rèn)證在國內(nèi)進(jìn)一步獲得了全面推廣，至2011年底，國內(nèi)頒發(fā)認(rèn)證證書數(shù)量是1107張。越來越多的行業(yè)和組織認(rèn)識到信息安全的重要性，并把它作為基礎(chǔ)管理工作之一開展起來。

  然而過去的幾年中，IT領(lǐng)域和通信行業(yè)發(fā)生了非常大的變革，出現(xiàn)了全面的業(yè)務(wù)和技術(shù)的融合。移動互聯(lián)網(wǎng)蓬勃興起、智能手機(jī)的廣泛采用、云計算技術(shù)的風(fēng)起云涌，帶來了全新的網(wǎng)絡(luò)威脅、數(shù)據(jù)泄漏和欺詐的風(fēng)險。面對這樣的變化和趨勢，使得信息安全管理體系標(biāo)準(zhǔn)的更新也變得日益重要。

  ISO對標(biāo)準(zhǔn)的更新，一般是以三年為一個周期,但因為ISO 27001：:2005標(biāo)準(zhǔn)發(fā)布后的巨大成功，以及ICT行業(yè)的飛躍發(fā)展，使得這個標(biāo)準(zhǔn)的更新變得非常謹(jǐn)慎，至今已有7年。從ISO組織發(fā)布的最新信息可以看到，ISO 27001標(biāo)準(zhǔn)的更新籌備實際上已經(jīng)在2008年開始，任命了工作組(JTC 1/SC 27 WG 1);2009年正式啟動更新。目前，處于該標(biāo)準(zhǔn)草案(Committee Draft)正在編寫委員會討論層面(30.20：2012-06-20)，預(yù)計新版發(fā)布時間會在 2013-10-19，那時我們就可以一睹它的全新面貌了。

  從ISO 27001標(biāo)準(zhǔn)新版更新的一些說明材料中，可以看出這次ISO 27001標(biāo)準(zhǔn)改版將會具有以下幾個特征：

  采用ISO導(dǎo)則83ISO導(dǎo)則83，規(guī)范了今后ISO管理體系認(rèn)證標(biāo)準(zhǔn)的基本框架;采用導(dǎo)則83頒布的第一個標(biāo)準(zhǔn)是今年5月發(fā)布的業(yè)務(wù)連續(xù)管理體系標(biāo)準(zhǔn)——ISO 22301:2012。

  導(dǎo)則83對今后的標(biāo)準(zhǔn)提出了新的框架要求，如下圖示，標(biāo)注了ISO27001新版與2005版結(jié)構(gòu)的對比和差異：

      在這個框架下，明顯的改變有如下幾點：

       標(biāo)準(zhǔn)第4-7章，說明管理體系的一般要求，包括： 組織的情境、領(lǐng)導(dǎo)力、策劃和支持；標(biāo)準(zhǔn)第8章，描述ISMS實施要求，包括信息安全風(fēng)險評估和處置；標(biāo)準(zhǔn)第9章，描述監(jiān)視，測量和評審活動的要求；標(biāo)準(zhǔn)第10章，描述改善活動的要求；其中，取消了預(yù)防措施。信息安全風(fēng)險管理與ISO體系31000風(fēng)險管理保持一致新版的ISO 27001標(biāo)準(zhǔn)中信息安全風(fēng)險管理要求與ISO 31000:2009 (Risk management——Principles and guidelines) 保持一致，并遵從其中的定義。

     在新版標(biāo)準(zhǔn)中明確了以下要求：

      信息安全風(fēng)險評估：組織應(yīng)確定如何確定其信息安全風(fēng)險評估和處置過程的可靠性。 信息安全風(fēng)險處理：適用時，組織應(yīng)調(diào)整信息安全風(fēng)險評估和處置過程，以及采用的方法，以改善過程的可靠性。保留附錄A控制措施與控制目標(biāo)新版ISO 27001依然會保留SOA和附錄A控制目標(biāo)、控制措施的架構(gòu)；因此，毫無疑問，ISO 27001的新版修訂一定會與ISO 27002的修訂同步進(jìn)行。
     事實上，關(guān)于控制措施和控制目標(biāo)的修訂，也是應(yīng)對新的變化的信息安全威脅和風(fēng)險必須的選擇；這部分的更新，在修訂項目中，接受了大量的修改建議，爭論也相當(dāng)大，目前還沒有最后的結(jié)論。
持續(xù)發(fā)展27系列支持性標(biāo)準(zhǔn)ISO 27001從誕生第一天開始就不是孤立的，為了支持信息安全管理體系標(biāo)準(zhǔn)，ISO27系列發(fā)布了一系列普遍適用和行業(yè)適用的參考標(biāo)準(zhǔn)。如下圖：

    截止目前，一些支持性標(biāo)準(zhǔn)目前的狀態(tài)如下表：

標(biāo)準(zhǔn)	名稱	狀態(tài)
ISO 27000	Overview and vocabulary	DIS
ISO 27001	Requirements	CD
ISO 27002	Code of practice for information security management	WD

     古希臘哲學(xué)家赫拉克利特因其作為辯證法的奠基人聞名于世，他曾經(jīng)寫道“一切皆流，無物常住”，過去幾年中，國際上幾乎所有行業(yè)和組織面臨的信息安全風(fēng)險的局勢無不體現(xiàn)了赫氏的這一學(xué)說。變化和發(fā)展是永恒的，信息安全風(fēng)險總是處在持續(xù)演進(jìn)中，攻擊者的手段依然會層出不窮。因此信息安全管理的實踐和標(biāo)準(zhǔn)都在不斷發(fā)展，我們唯一要做的就是保持警惕，隨時準(zhǔn)備抵御風(fēng)險。

     如也有不清楚的可以隨時在線留言，通翔顧問致力于驗廠咨詢.體系服務(wù)18年，累計幫助30000多家企業(yè)順利通過各種各樣驗廠和體系認(rèn)證。為廣大客戶提供一站式服務(wù)，機(jī)構(gòu)遍布全國，無論是國內(nèi)還是國外，都有我們公司的各個地區(qū)的輔導(dǎo)機(jī)構(gòu)，且社會經(jīng)驗豐富，老師專業(yè)，擁有諸多的人脈關(guān)系，可以為工廠提供高性價比的服務(wù)，避免找不到方向，讓制造廠安心、一次性順利通過驗廠和認(rèn)證審核。