新版本ISO 27001的主要改动
标准名称和范围的扩展:
新版ISO 27001的官方标准名称已更新为《信息安全、网络安全和隐私保护 信息安全管理体系 要求》。这一变化表明,标准的覆盖范围已从原本的“信息技术 安全技术”扩展至“信息安全、网络安全和隐私保护”,以更好地反映当前的信息安全威胁和挑战。
控制框架结构的重新构建:
附录A中的信息安全控制框架结构进行了重新构建,从2013版的14个安全控制域合并后总结归纳为人员、物理、技术、组织四大主题。这样的分类更加简单明了,便于组织对安全控制项进行选择归类,以加强信息安全控制措施的实施。
控制项的变化:
控制项的数量从114个减少到93个,其中新增了11个控制项,更新了58个控制项,并合并了24个控制项。新增的控制项主要集中在组织控制和技术控制两个主题,包括威胁情报、云服务、业务连续性、数据安全、配置管理等方面。
增加了控制措施的属性:
新版标准对控制措施增加了5个属性,分别为控制类型、信息安全属性、网络概念、运营能力和安全域。这些属性有助于组织根据不同的需求和受众,对控制措施进行分类和筛选。
变更计划和管理评审的调整:
新版标准增加了6.3变更计划的要求,并对9.2内部审计和9.3管理评
审进行了调整,以更好地支持组织对信息安全管理体系的持续改进和优化。
企业需要注意的事项
及时了解和适应新标准:
企业应密切关注ISO 27001标准的更新动态,及时获取新版本的详细信息,并理解其变化对企业信息安全管理体系的影响。
评估现有体系与新标准的符合性:
企业应对现有的信息安全管理体系进行全面评估,确定其与新版ISO 27001标准的符合程度和差距。这有助于企业明确需要改进的领域和方向。
制定转版计划:
对于已经获得旧版ISO 27001认证的企业,应制定详细的转版计划,包括转版的时间表、资源投入、人员培训等。企业需要在规定的时间内完成转版认证工作,以确保其信息安全管理体系的有效性和合规性。
更新和完善控制措施:
根据新版标准的要求,企业需要更新和完善其信息安全控制措施。特别是针对新增的控制项和属性,企业需要制定相应的管理制度和流程,并确保其得到有效执行。
加强培训和意识提升:
企业应加强对员工的信息安全培训和意识提升工作。通过培训,使员工了解新版标准的要求和变化,提高其信息安全素养和应对能力。
持续改进和优化:
企业应将持续改进和优化作为信息安全管理体系的重要工作之一。通过定期的内审和外审,及时发现和解决存在的问题,并不断优化和完善其信息安全管理体系。
新版本ISO 27001的改动对企业的信息安全管理体系
提出了更高的要求和挑战。
企业需要积极应对这些变化,
通过及时了解新标准、评估现有体系、制定转版计划、
更新控制措施、加强培训和意识提升以及持续改进和优化
等措施,
确保其信息安全管理体系的有效性和合规性。
更多内容:
市场监管总局(国家标准委)新发布多项国家标准,引领行业绿色创新与可持续发展
