新版本ISO 27001的主要改動(dòng)
標(biāo)準(zhǔn)名稱(chēng)和范圍的擴(kuò)展:
新版ISO 27001的官方標(biāo)準(zhǔn)名稱(chēng)已更新為《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù) 信息安全管理體系 要求》。這一變化表明,標(biāo)準(zhǔn)的覆蓋范圍已從原本的“信息技術(shù) 安全技術(shù)”擴(kuò)展至“信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)”,以更好地反映當(dāng)前的信息安全威脅和挑戰(zhàn)。
控制框架結(jié)構(gòu)的重新構(gòu)建:
附錄A中的信息安全控制框架結(jié)構(gòu)進(jìn)行了重新構(gòu)建,從2013版的14個(gè)安全控制域合并后總結(jié)歸納為人員、物理、技術(shù)、組織四大主題。這樣的分類(lèi)更加簡(jiǎn)單明了,便于組織對(duì)安全控制項(xiàng)進(jìn)行選擇歸類(lèi),以加強(qiáng)信息安全控制措施的實(shí)施。
控制項(xiàng)的變化:
控制項(xiàng)的數(shù)量從114個(gè)減少到93個(gè),其中新增了11個(gè)控制項(xiàng),更新了58個(gè)控制項(xiàng),并合并了24個(gè)控制項(xiàng)。新增的控制項(xiàng)主要集中在組織控制和技術(shù)控制兩個(gè)主題,包括威脅情報(bào)、云服務(wù)、業(yè)務(wù)連續(xù)性、數(shù)據(jù)安全、配置管理等方面。
增加了控制措施的屬性:
新版標(biāo)準(zhǔn)對(duì)控制措施增加了5個(gè)屬性,分別為控制類(lèi)型、信息安全屬性、網(wǎng)絡(luò)概念、運(yùn)營(yíng)能力和安全域。這些屬性有助于組織根據(jù)不同的需求和受眾,對(duì)控制措施進(jìn)行分類(lèi)和篩選。
變更計(jì)劃和管理評(píng)審的調(diào)整:
新版標(biāo)準(zhǔn)增加了6.3變更計(jì)劃的要求,并對(duì)9.2內(nèi)部審計(jì)和9.3管理評(píng)
審進(jìn)行了調(diào)整,以更好地支持組織對(duì)信息安全管理體系的持續(xù)改進(jìn)和優(yōu)化。
企業(yè)需要注意的事項(xiàng)
及時(shí)了解和適應(yīng)新標(biāo)準(zhǔn):
企業(yè)應(yīng)密切關(guān)注ISO 27001標(biāo)準(zhǔn)的更新動(dòng)態(tài),及時(shí)獲取新版本的詳細(xì)信息,并理解其變化對(duì)企業(yè)信息安全管理體系的影響。
評(píng)估現(xiàn)有體系與新標(biāo)準(zhǔn)的符合性:
企業(yè)應(yīng)對(duì)現(xiàn)有的信息安全管理體系進(jìn)行全面評(píng)估,確定其與新版ISO 27001標(biāo)準(zhǔn)的符合程度和差距。這有助于企業(yè)明確需要改進(jìn)的領(lǐng)域和方向。
制定轉(zhuǎn)版計(jì)劃:
對(duì)于已經(jīng)獲得舊版ISO 27001認(rèn)證的企業(yè),應(yīng)制定詳細(xì)的轉(zhuǎn)版計(jì)劃,包括轉(zhuǎn)版的時(shí)間表、資源投入、人員培訓(xùn)等。企業(yè)需要在規(guī)定的時(shí)間內(nèi)完成轉(zhuǎn)版認(rèn)證工作,以確保其信息安全管理體系的有效性和合規(guī)性。
更新和完善控制措施:
根據(jù)新版標(biāo)準(zhǔn)的要求,企業(yè)需要更新和完善其信息安全控制措施。特別是針對(duì)新增的控制項(xiàng)和屬性,企業(yè)需要制定相應(yīng)的管理制度和流程,并確保其得到有效執(zhí)行。
加強(qiáng)培訓(xùn)和意識(shí)提升:
企業(yè)應(yīng)加強(qiáng)對(duì)員工的信息安全培訓(xùn)和意識(shí)提升工作。通過(guò)培訓(xùn),使員工了解新版標(biāo)準(zhǔn)的要求和變化,提高其信息安全素養(yǎng)和應(yīng)對(duì)能力。
持續(xù)改進(jìn)和優(yōu)化:
企業(yè)應(yīng)將持續(xù)改進(jìn)和優(yōu)化作為信息安全管理體系的重要工作之一。通過(guò)定期的內(nèi)審和外審,及時(shí)發(fā)現(xiàn)和解決存在的問(wèn)題,并不斷優(yōu)化和完善其信息安全管理體系。
新版本ISO 27001的改動(dòng)對(duì)企業(yè)的信息安全管理體系
提出了更高的要求和挑戰(zhàn)。
企業(yè)需要積極應(yīng)對(duì)這些變化,
通過(guò)及時(shí)了解新標(biāo)準(zhǔn)、評(píng)估現(xiàn)有體系、制定轉(zhuǎn)版計(jì)劃、
更新控制措施、加強(qiáng)培訓(xùn)和意識(shí)提升以及持續(xù)改進(jìn)和優(yōu)化
等措施,
確保其信息安全管理體系的有效性和合規(guī)性。
更多內(nèi)容:
新版本iso20000有什么改動(dòng),企業(yè)需要注意什么
