ISO27001-2013新版解析

ISO27001:2013新版信息安全管理体系标准变化精解•关于标准——基本情况•关于新版——内容精解•关于换证——解决方案ISO27001:2005改版ISO27001:2013现版的信息安全管理体系ISO27001:2005标准已经使用了8年，日前ISO组织（国际标准化组织）终于将新版ISO27001:2013DIS版（国际标准草案DraftInternationalStandard）草稿向公众开放并征求意见，预计在今年6-7月会发布DIS最终版。ISO组织公布的正式版本的颁布时间为2013年10月19日。改版背景改版影响在新版公布后的18至24个月内是认证转换缓冲期，即原有已取得ISO27001证书的企业最迟需要在2015年10月19日前转换到新版标准。ISO27001的历史发展1992年在英国首次作为行业标准发布，为信息安全管理提供了一个依据。BS7799标准最早是由英国工贸部、英国标准化协会（BSI）组织的相关专家共同开发制定的BS7799BS7799-1BS7799-2在1998年、1999年经过两次修订之后出版BS7799-1：1999和BS7799-2：1999。ISO27002ISO270012000年4月，将BS7799-1：1999提交ISO，同年10月获得通过成为ISO/IEC17799：2000版。2005年对ISO/IEC17799：2000版进行了修订，于6月15日发布了ISO/IEC17799：2005版。2007年上半年正式更名为ISO27002:2007。2013年与ISO27001:2013版同步更新为ISO27002:2013.2001年修订BS7799-2：1999，同年BS7799-2：2000发布。2002年对BS7799-2：2000进行了修订发布了BS7799-2：2002版。ISO于2005年10月15采用BS7799-2：2002版本成为国际标准-ISO/IEC27001：2005版。2013年10月19日修订原版，正式使用ISO/IEC27001:2013版。ISO27000标准家族序号标准编号标准名称现行状态序号标准编号标准名称现行状态1ISO27000信息技术–安全技术-信息安全管理体系-概论及术语2009年出版16ISO/IEC27032信息技术–安全技术–网络空间安全指南委员会草案2ISO27001信息技术–安全技术-信息安全管理体系-要求2013年改版17ISO/IEC27033-1信息技术–安全技术–网络安全–第1部分：概述和概念2009年出版3ISO/IEC27002信息技术–安全技术-信息安全管理-为规范2013年改版18ISO/IEC27033-2信息技术–安全技术–网络安全–第2部分：设计和实施网络安全指南最终委员会草案4ISO/IEC27003信息技术–安全技术-信息安全管理体系-实施指南2010年出版19ISO/IEC27033-3信息技术–安全技术–网络安全–第3部分：参考网络情境–威胁、设计技术和控制活动最终委员会草案5ISO/IEC27004信息技术–安全技术-信息安全管理-测量2009年出版20ISO/IEC27033-4信息技术–安全技术–网络安全–第4部分：使用安全网关确保网络间的通信安全–威胁、设计技术和控制活动工作组草案6ISO/IEC27005信息技术–安全技术-信息安全风险管理2008年出版21ISO/IEC27034-1应用安全–第1部分：概述和概念最终委员会草案7ISO/IEC27006信息技术–安全技术-认证机构要求2007年出版22ISO/IEC27034-2应用安全–第2部分：组织规范性框架批准的新项目8ISO/IEC27007信息技术–安全技术-信息安全管理体系审核指南委员会草案23ISO/IEC27034-3应用安全–第3部分：应用安全管理过程批准的新项目9ISO/IEC27008控制审核员指南委员会草案24ISO/IEC27034-4应用安全–第4部分：应用安全确认批准的新项目10ISO/IEC27010行业间交流的信息安全管理工作组草案25ISO/IEC27034-5应用安全–第5部分：协议和应用安全控制的数据结构批准的新项目11ISO/IEC27011信息技术–安全技术-基于ISO/IEC27002通讯行业信息安全管理体系2008年出版26ISO/IEC27035信息技术–安全技术–信息安全事件管理最终委员会草案12ISO/IEC27013信息技术–安全技术-?ISO/IEC20000-1及ISO/IEC27001一体化实施指南工作组草案27ISO/IEC27036信息技术–安全技术–外包安全指南批准的新项目13ISO/IEC27014信息安全治理框架工作组草案28ISO/IEC27037识别、收集、获取和保存数字证据指南工作组草案14ISO/IEC27015金融及保险行业信息安全管理体系批准的项目29ISO/IEC27038信息技术–安全技术–数字化修订详述批准的新项目15ISO/IEC27031信息技术–安全技术–业务连续性的ICT准备能力指南最终委员会草案•关于标准——基本情况•关于新版——内容精解•关于换证——解决方案新标准特点•在新版当中采用ISO导则83做结构性要求，这个结构未来在ISO其他标准改版中会普遍采用。（ISO22301已应用）•附录A中将旧版11个控制领域拓展到14个，结构更合理，表现更清晰。新标特点1.采用新结构2.控制更精益3.引入新重点•附录A中将旧版133个控制项缩减到113个（未来仍可能有改动）。•将通信与操作管理领域拆分为通信安全与操作安全两个领域，比旧版标准更清晰的反应了实际的需求。•将旧版业务连续性管理更新为信息安全方面的业务连续性管理，表述更准确。•通过合并重复的控制项来精炼控制项的构成（如变更管理在不同的领域中有重复就予以合并）。•将原分布在各领域的加密及供应链管理控制项级别提升，组成新领域，形成新重点，以反映目前信息安全的发展趋势。•新增了智能型装置管理的控制项•强化ICT供应链委外管理的要求•完善了系统开发项目管理的信息安全要求新标准正文部分架构变化在新版中采用ISO导则83做结构性要求，从8个章节拓展到10个章节，重新构建了ISO标准PDCA的章节架构，这个结构在已发布的ISO22301中已经进行了应用，未来将在ISO其他标准改版中会普遍采用（包括ISO9000、ISO20000等）。Tips：内容新调整5.领导力领导力和承诺方针角色、责任和承诺4.组织的背景理解组织现状及背景利益相关方的期望ISMS的范围ISMS6.计划处理风险和机遇的行动可实现的IS目标和计划7.支持资源能力意识沟通文档信息Plan8.运行运行计划及控制信息安全风险评估信息安全风险处置Do9.绩效评价监控、度量、分析和评价内部审核管理评审Check10.改进不符合及纠正措施持续改进Act45678910新标准正文部分内容构成27001:20054.1建立ISMSISO27001:20134.组织的背景通过以下方面定义ISMS的范围和边界：•业务的特点;•组织;•位置;•资产和技术;•任何范围删减的细节与合理性。通过确定外部和内部的情况，判断有关ISMS目的和影响，以实现预期的结果。确定ISMS相关的要求与信息安全相关的利害关系人。通过以下方面，确定ISMS的边界和适用性，建立ISMS的范围：•以往的外部和内部情况;•利益相关方的需求;•组织运转内外部的接口和依赖关系;核心内容的变化•旧版4.1章节独立成新版第4章，对ISMS建立的基础进行了调整和明确。•ISO27001:2005以资产和技术为主体，ISO27001:2013以组织业务关系为主体。•在ISMS范围和边界确定上，较ISO27001:2005版更多的考虑到了组织自身及利益相关方的需求，也意味着未来在ISMS建设中，依据组织环境情况对ISMS建设复杂度的剪裁将更灵活和个性化。Tips：标准附录A的变化14个领域113个控制措施11个领域133个控制措施对比ISO27001:2005老版……附录A控制领域结构A.5安全方针A.6信息安全组织A.7人力资源安全A.8资产管理A.9访问控制A.10密码学A.11物理与环境安全A.12操作安全A.13通信安全A.14信息系统获取、开发和维护A.15供应关系A.16信息安全事件管理A.17信息安全方面的业务连续性管理A.18符合性A.5安全方针A.6信息安全组织A.7人力资源安全A.8资产管理A.9访问控制A.10密码学(新增)A.11物理与环境安全A.12操作安全(由旧版A.10独立出来)A.13通信安全(由旧版A.10分开独立出来)A.14信息系统获取、开发和维护A.15供应关系(新增)A.16信息安全事件管理A.17信息安全方面的业务连续性管理A.18符合性附录A控制领域的变化ISO27001:2005ISO27001:2013A.5安全方针A.6信息安全组织A.7资产管理A.8人力资源安全A.9物理与环境安全A.10通信与操作管理A.11访问控制A.12信息系统获取、开发和维护A.13信息安全事件管理A.14业务连续性管理A.15符合性•从旧版11个领域更新为14个领域•密码学、供应关系成为一个独立领域（A10、A15）•通讯与操作管理被划分到操作安全（A12）和通信安全（A13）。Tips：控制项的增删与调整删除控制项：•6.2.2处理与顾客有关的安全问题•10.4.2控制移动代码•10.7.3信息处理规程•10.7.4系统文件安全•10.8.5业务信息系统•10.9.3公共可用信息•11.4.2外部连接的用户鉴别•11.4.3网络上的设备标识•11.4.4远程诊断和配置端口的保护•11.4.6网络连接控制•11.4.7网络路由控制•11.5.5会话超时•11.5.6联机时间的限定•11.6.2敏感系统隔离•12.2.1输入数据确认•12.2.2内部处理的控制•12.2.3消息完整性•12.2.4输出数据确认•12.5.4信息泄露•14.1.2业务连续性和风险评估•14.1.3制订和实施业务连续性计划•14.1.4业务连续性计划框架•15.1.5防止滥用信息处理设施•15.3.2信息系统审计工具的保护•新增或调整了一些控制措施，涉及信息系统开发、信息安全事件管理、业务连续性管理等部分；•删除了一些旧版中重复的和操作级的控制项；•附录A的调整并没有颠覆原有的结构，只是在原有控制项结构的基础上，进行了优化，较旧版来说的确更清晰了，相信这样的变化可以更容易的让组织去实现它们；新增控制项：•14.2.1安全开发策略（软件和信息系统开发规则)•14.2.5系统开发程序（系统工程的原则)•14.2.6安全的开发环境（建立和保护开发环境)•14.2.8系统安全测试（安全功能的测试)•16.1.4信息安全事件的评估和决策（这是事件管理的一部分)•17.2.1信息处理设施的可用性（实现冗余)Tips：1风险评估工具需升级随着新标准控制项架构的调整，企业目前使用的风险评估方法将受到一定影响，核心在于信息资产弱点建模及风险处置的控制项选择部分，需要重新构建符合新标准结构的风险评估工具。2SOA适用性声明及文件体系的升级新标准的实施，将对SOA适用性声明及企业现有体系文件制度产生较大影响，体系一二级文件将需进行一个较大的内容调整及升级，不过，对三四级文件的影响较小，在三四级文件层面上，仅需根据新标要求进行少量增补即可。3内部审核工具的升级受内部管理制度的调整，内部审核的开展方式及使用工具将不可避免受到影响，也需根据新标要求进行升级。新标准对已获得认证证书组织的影响•新标准的颁布和执行，对已通过ISO27001认证的企业会造成一定影响，在新版公布后的18至24个月的认证转换缓冲期中，原有已取得ISO27001证书的企业最迟需要在2015年10月19日前转换到新版标准。新标的执行需要企业在3方面对现有体系进行调整：•关于标准——基本情况•关于新版