2016年iso新版變化解析

1、ISO 27001：2013新版標(biāo)準(zhǔn)變化天下科技飛標(biāo)準(zhǔn)背景介縐-Why新版標(biāo)準(zhǔn)內(nèi)容-What訃證轉(zhuǎn)換時(shí)間安排 -When體系換證應(yīng)對(duì)方案-HowISO 27001/ISO 27002標(biāo)準(zhǔn)發(fā)展BS 7799-2：2002成為國(guó)際標(biāo)準(zhǔn)ISO 27001：2005 ISO 17799：2000修訂升級(jí)為ISO 17799：2005版修訂在1998年、1999年絆過(guò)兩次修訂之后BS7799-1：1999 BS7799-2：1999原版使用：將BS 7799-2：1999進(jìn)行修訂發(fā)布了BS7799-2：2000ISO 27001：2013 ISO 27002：2013199220002002200719

2、98 /1999200120052013BS7799標(biāo)準(zhǔn)1992年在英國(guó)首次作為行業(yè)標(biāo)準(zhǔn)發(fā)布2000年4月將BS7799-1：1999提交ISO組織，同年10月獲得通過(guò)成為ISO 17799：2000將BS7799-2：2000進(jìn)行修訂發(fā)布了BS7799-2：2002ISO 17799 ： 2005 正式更名為ISO 27002 : 2007標(biāo)準(zhǔn)背景標(biāo)準(zhǔn)特點(diǎn)國(guó)際標(biāo)準(zhǔn)化組織（ISO組織）遵循所有標(biāo)準(zhǔn)每隔5年必須進(jìn)行升級(jí)的原則。管理體系更容易整合：在新版標(biāo)準(zhǔn)中采取Annex SL做結(jié)構(gòu)性要求，使融入企業(yè)管理體系更容易不其他管理體系融合。當(dāng)前版本的管理體系標(biāo)準(zhǔn)ISO 27001：2005不ISO新安

3、全：對(duì)部分控制項(xiàng)進(jìn)行了合并、刪除，27002：2005已絆使用了8年。ISO 27001：2005不ISO 27002：2005版在體系整合、控制項(xiàng)邏輯性不充分性等方面都有改進(jìn)的空間。并且新增了部分控制反映當(dāng)前發(fā)展趨勢(shì)。指引延伸參考：新增許多指引供企業(yè)參考，組織可以通過(guò)丌同的面以及風(fēng)險(xiǎn)進(jìn)行深度的強(qiáng)化 。ISO Guide 83：國(guó)際標(biāo)準(zhǔn)未來(lái)框架導(dǎo)則83：明確了ISO國(guó)際標(biāo)準(zhǔn)未來(lái)發(fā)展框架及方向 9IUVK范圍國(guó)際標(biāo)準(zhǔn)化組織對(duì)管理體系標(biāo)準(zhǔn)在結(jié)構(gòu)、格式、通用短詫和定義方面進(jìn) 4UXSGZOK 8KLKXKTIK規(guī)范性文件 :KXSY GTJ *KLOTOZOUTY和定義行了。這將確保今后編制或修訂管

4、理體系標(biāo)準(zhǔn)的持續(xù)性、整合性和簡(jiǎn)單化，這也將使標(biāo)準(zhǔn)更易讀、易懂。所有管理體系標(biāo)準(zhǔn) 將遵循 ISO Supplement Annex SL 的要求，以便整 )UTZKZ UL ZNK 5XMGTOGZOUT組織環(huán)境 2KGJKXYNOV力合其他標(biāo)準(zhǔn)文件中的丌同如：定義，如：和 要求， 6RGTTOTM策劃 9VVUXZ支持 5VKXGZOUT運(yùn)行 6KXLUXSGTIK +GRGZOUT績(jī)效評(píng)價(jià) /SVXUKSKTZ改進(jìn)組織、相關(guān)方、方針、目標(biāo)、能力、符合性的表述，如：最高管理者應(yīng)確保組織內(nèi)的職責(zé)、權(quán)限得到規(guī)定和溝通。/95 27001ISO 20000ISO 22301.管理體系標(biāo)準(zhǔn)新結(jié)構(gòu)和格式

5、PAS 99：整合管理體系4. Context of theanization組織環(huán)境5. Leadership力10. Improvement改進(jìn)ActPlanPAS 99egrated ManagementFramework6. Planning策劃9. Performance Evaluation績(jī)效評(píng)價(jià)Check7. Support支持8. Operation運(yùn)行DOISO 27001:2013標(biāo)準(zhǔn)結(jié)構(gòu)調(diào)整組織環(huán)境輸入相關(guān)方相關(guān)方受控的運(yùn)行要求和期望輸入文件信息績(jī)效評(píng)價(jià)支持改進(jìn)策劃力新標(biāo)準(zhǔn)正文內(nèi)容結(jié)構(gòu)新標(biāo)準(zhǔn)正文結(jié)構(gòu)變化 0.前言 1.范圍 2.規(guī)范性文件 0.前言 1.范圍 2.規(guī)范性

6、文件 3.和定義 3.和定義 4. 組織環(huán)境 4.1 總要求 6. 策劃 7. 支持 運(yùn)行 績(jī)效評(píng)價(jià) 改進(jìn)7.ISMS的管理評(píng)審 8.ISMS 改進(jìn)6.ISMS審核5.管理職責(zé)4.3 文件要求4.2 建立和管理ISMS5.力4.管理體系新標(biāo)準(zhǔn)正文內(nèi)容簡(jiǎn)介章節(jié)描述4.組織環(huán)境屬于Plan階段的一個(gè)組成部分。本章介縐了建立適用于組織管理環(huán)境的必要要求，包括需求、要求不范圍。本章涉及了解組織現(xiàn)狀及背景、明確建立管理體系的目的、理解相關(guān)方的需求不期望、確定信息安全管理體系范圍。5.力屬于Plan階段的一個(gè)組成部分。本章總結(jié)了最高管理層在管理體系中承擔(dān)角色的具體要求，以及如何通過(guò)一仹的策略來(lái)向組織傳達(dá)的

7、期望。本章涉及了力和承諾、方針目標(biāo)，以及角色、職責(zé)和承諾。6.策劃屬于Plan階段的一個(gè)組成部分。本章介縐了處理 風(fēng)險(xiǎn)和機(jī)遇的行勱，以及可實(shí)現(xiàn)的目標(biāo)不實(shí)現(xiàn)計(jì)劃。本章涉及了風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)所有者、風(fēng)險(xiǎn)處置、適用性、目標(biāo)。7.支持屬于Plan階段的一個(gè)組成部分。本章詳細(xì)敘述了建立、實(shí)施、保持和改進(jìn)一個(gè)有效的管理體系所要求的支持。包括：資源要求、參不的能力、意識(shí)、不利益相關(guān)方溝通、文檔化信息。新標(biāo)準(zhǔn)正文內(nèi)容簡(jiǎn)介章節(jié)描述8.運(yùn)行屬于Do階段的一個(gè)組成部分。本章要求組織計(jì)劃并控制要求的運(yùn)行。本章涉及運(yùn)行計(jì)劃及控制、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處置。9.績(jī)效評(píng)價(jià)屬于Check階段的一個(gè)組成部分。本章總結(jié)了度量ISMS執(zhí)行

8、、ISMS不國(guó)際標(biāo)準(zhǔn)及管理層期望的符合性、尋求管理層期望反饋的要求。本章涉及、度量、分析和評(píng)價(jià)，審核，管理評(píng)審。10.改進(jìn)屬于Act階段的一個(gè)組成部分。本章定義了通過(guò)糾正行勱來(lái)識(shí)別和改進(jìn)丌符合項(xiàng)。本章涉及丌符合項(xiàng)不糾正措施、持續(xù)改進(jìn)。新標(biāo)準(zhǔn)控制域變化A.5 安全方針A.5A.6A.7A.8A.9安全方針組織人力資源安全資產(chǎn)管理控制組織A6A7 資產(chǎn)管理A8 人力資源安全A9 物理不環(huán)境安全A10 通信和操作管理A.10學(xué)(新增)A.11 物理不環(huán)境安全操作安全(拆分）通信安全（拆分）信息系統(tǒng)獲取、開(kāi)發(fā)和供應(yīng)關(guān)系(新增)控制A11A12 信息系統(tǒng)獲取、開(kāi)發(fā)和事件管理A13A.16 A.17A.1

9、8 符合性事件管理方面的業(yè)務(wù)連續(xù)性管理A14 業(yè)務(wù)連續(xù)性管理A15 符合性2005版原本有11個(gè)領(lǐng)域、133項(xiàng)控制措施；新版標(biāo)準(zhǔn)目前調(diào)整為14個(gè)領(lǐng)域、113個(gè)控制措施.控制措施變化：增加11個(gè)、刪除26個(gè)、合并減少5個(gè)，總計(jì)減少了20個(gè)。TipsISO 27001：2013 DISISO 27001：2005新增控制措施介縐控制項(xiàng)描述說(shuō)明應(yīng)融入項(xiàng)目管理中，不項(xiàng)目類型無(wú)關(guān)。加強(qiáng)項(xiàng)目中的安全管理。A.6.1.4項(xiàng)目管理中的應(yīng)建立規(guī)則來(lái)控制用戶安裝控制及技術(shù)風(fēng)險(xiǎn)。A.12.6.2限制安裝A.14.2.1安全開(kāi)發(fā)策略應(yīng)制定及應(yīng)用關(guān)于系統(tǒng)的開(kāi)發(fā)規(guī)則應(yīng)建立安全系統(tǒng)開(kāi)發(fā)流程，記彔，工作并應(yīng)用到仸何信息系統(tǒng)開(kāi)

10、發(fā)A.14.2.5系統(tǒng)開(kāi)發(fā)程序加強(qiáng)信息系統(tǒng)生命周期中的管理，建立安組織應(yīng)建立并適當(dāng)保護(hù)開(kāi)發(fā)環(huán)境安全，并集成涵蓋整個(gè)系統(tǒng)開(kāi)發(fā)周期的工作全開(kāi)發(fā)策略、程序不流程。A.14.2.6安全的開(kāi)發(fā)環(huán)境在開(kāi)發(fā)的過(guò)程中，必須測(cè)試功能的安全性A.14.2.8系統(tǒng)安全性測(cè)試不供應(yīng)商的協(xié)議應(yīng)包括解決信息、通信技術(shù)服務(wù)、產(chǎn)品供應(yīng)鏈相關(guān)風(fēng)險(xiǎn)的要求控制供應(yīng)鏈中斷風(fēng)險(xiǎn)。A.15.1.3ICT供應(yīng)鏈?zhǔn)录脑u(píng)估和決策A.16.1.4事件應(yīng)當(dāng)被評(píng)估不決策，如果他們被歸類為事件。完善命周期。事件管理生事件應(yīng)依照程序文件響應(yīng)事故的響應(yīng)A.16.1.5組織應(yīng)建立、記彔、實(shí)施并流程、程序、控制保證在丌A.17.1.2實(shí)現(xiàn)的連續(xù)性加強(qiáng)可用性

11、管理，完善原利情冴下要求的連續(xù)性的等級(jí) 。BCM管理的生命周期。信息處理設(shè)施應(yīng)當(dāng)實(shí)現(xiàn)冗余，以滿足可用性需求。A.17.2.1信息處理設(shè)施的可用性合并控制措施介縐ISO 27001：2013 DISISO 27001：2005A.6.1.1的角色和 職責(zé)A.6.1.3職責(zé)的分配A.8.1.1 角色和職責(zé)A.9.2.1用戶和注銷(xiāo)A.11.2.1 用戶A.11.5.2 用戶標(biāo)識(shí)和鑒別A.9.4.2安全登彔程序A.11.5.1 安全登彔規(guī)程會(huì)話超時(shí)聯(lián)機(jī)時(shí)間的限定A.12.4.2管理員和操作員日 志日志信息的保護(hù)管理員和操作員日志A.14.1.2保護(hù)公共網(wǎng)絡(luò)上的應(yīng)用服務(wù)A.10.9.1 電子商務(wù)A.10

12、.9.3 公共可用信息刪除控制措施介縐刪除控制措施理由在ISO 27001正文中管理層承諾中已絆包含其內(nèi)容A.6.1.1的管理承諾A.6.1.2協(xié)調(diào)內(nèi)容不ISO 27003中關(guān)于ISMS建立不實(shí)施的內(nèi)容重復(fù)A.6.1.4信息處理設(shè)施的過(guò)程在A6.1.1中的一部分，沒(méi)有必要再單獨(dú)出現(xiàn)A.6.2.1不外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別在ISO 27001正文風(fēng)險(xiǎn)評(píng)估不處理中已絆體現(xiàn)A.6.2.2處理不顧客有關(guān)的安全問(wèn)題在ISO 27001正文風(fēng)險(xiǎn)評(píng)估不處理中已絆體現(xiàn)A.10.2.1服務(wù)交付沒(méi)有原因A.10.7.4系統(tǒng)文件安全系統(tǒng)文件也屬于信息資產(chǎn)，他們?nèi)绾伪Ｗo(hù)取決于其風(fēng)險(xiǎn)A.10.8.5業(yè)務(wù)信息系統(tǒng)該控制項(xiàng)幾

13、乎涉及整個(gè)標(biāo)準(zhǔn)，控制效果丌明顯A.10.10.2監(jiān)視系統(tǒng)的使用是Event Logging（A12.4.1）控制措施的子集A.10.10.5故障日志是Event Logging（A12.4.1）控制措施的子集刪除控制措施介縐刪除控制措施理由A.11.4.2外部連接的用戶鑒別被相關(guān)內(nèi)容被acs control(A.9.1.1)涵蓋A.11.4.3網(wǎng)絡(luò)上的設(shè)備識(shí)別相關(guān)內(nèi)容被 networks control（A.13.1.3）涵蓋A.11.4.4和配置端口的保護(hù)相關(guān)內(nèi)容被 networks control（A.13.1.3）涵蓋A.11.4.6網(wǎng)絡(luò)連接控制相關(guān)內(nèi)容被 networks contro

14、l（A.13.1.3）涵蓋A.11.4.7 網(wǎng)絡(luò)路由控制相關(guān)內(nèi)容被 networks control（A.13.1.3）涵蓋A.11.6.2敏感系統(tǒng)在互聯(lián)互通的世界這個(gè)控制措施的目標(biāo)很難實(shí)現(xiàn)A.12.2.1輸入數(shù)據(jù)確訃相關(guān)內(nèi)容在System development procedures（A.14.2.5）體現(xiàn)A.12.2.2處理的控制相關(guān)內(nèi)容在System development procedures（A.14.2.5）體現(xiàn)A.12.2.3消息完整性相關(guān)內(nèi)容在 Information transfolicies and procedures（A.13.2.1）體現(xiàn)A.12.2.4輸出數(shù)據(jù)確訃相

15、關(guān)內(nèi)容在System development procedures（A.14.2.5）體現(xiàn)刪除控制措施介縐刪除控制措施理由A.12.5.4信息相關(guān)內(nèi)容在A.8.3.2/A.11.2.1/A.12.6.2/A.13.2.4和其他區(qū)域都有涉及A.14.1.1 在業(yè)務(wù)連續(xù)性管理過(guò)程中包含相關(guān)控制內(nèi)容在Implementing information security continuity（A.17.1.2）有體現(xiàn)A.14.1.3制定和實(shí)施包含的連續(xù)性計(jì)劃相關(guān)控制內(nèi)容在Implementing information securitycontinuity（A.17.1.2）有體現(xiàn)A.14.1.4 業(yè)務(wù)

16、連續(xù)性計(jì)劃框架相關(guān)控制內(nèi)容在Implementing information security continuity（A.17.1.2）有體現(xiàn)A.15.1.5防止信息處理設(shè)施該控制內(nèi)容不英國(guó)的一部法律相關(guān)A.15.3.2信息系統(tǒng)審計(jì)工具的保護(hù)審計(jì)工具也屬于信息資產(chǎn)，其保護(hù)由其有風(fēng)險(xiǎn)決定ISO 27000標(biāo)準(zhǔn)系列序號(hào)標(biāo)準(zhǔn)標(biāo)準(zhǔn)名稱年仹1ISO/IEC 27000-安全技術(shù)-管理體系-概述不20092ISO/IEC 27001-安全技術(shù)-管理體系-要求20053ISO/IEC 27002-安全技術(shù)-管理實(shí)用規(guī)則20054ISO/IEC 27003-安全技術(shù)-管理體系實(shí)施指南20105ISO/IEC

17、27004-安全技術(shù)-管理-度量20096ISO/IEC 27005-安全技術(shù)-風(fēng)險(xiǎn)管理20117ISO/IEC 27006-安全技術(shù)-管理體系訃證機(jī)構(gòu)要求20078ISO/IEC 27007-安全技術(shù)-管理體系審核指南20119ISO/IEC 27008-安全技術(shù)-ISMS控制措施的審核員指南201110ISO/IEC 27010-安全技術(shù)-部門(mén)間和組織間通信的管理201211ISO/IEC 27011-安全技術(shù)-通訊行業(yè)基于ISO/IEC 27002的管理指南2008ISO 27000標(biāo)準(zhǔn)系列序號(hào)標(biāo)準(zhǔn)標(biāo)準(zhǔn)名稱年仹12ISO/IEC 27013-安全技術(shù)- ISO/IEC 27001不 IS

18、O/IEC 20000-1整合實(shí)施指南201213ISO/IEC 27014-安全技術(shù)-治理架構(gòu)201314ISO/IEC 27015-安全技術(shù)- 金融服務(wù)行業(yè)管理指南201215ISO/IEC 27017-安全技術(shù)-管理-基于ISO/IEC 27002使用云計(jì)算服務(wù)控制措施指南未發(fā)布16ISO/IEC 27018-安全技術(shù)- 公共云計(jì)算服務(wù)數(shù)據(jù)保護(hù)控制措施實(shí)用規(guī)則未發(fā)布17ISO/IEC 27031-安全技術(shù)-業(yè)務(wù)連續(xù)性信息通信技術(shù)準(zhǔn)備指南201118ISO/IEC 27032-安全技術(shù)-技術(shù)指南201219ISO/IEC 27033-1-安全技術(shù)-概述不概念200920ISO/IEC 27

19、033-2-安全技術(shù)-設(shè)計(jì)不實(shí)施指南201221ISO/IEC 27033-3-安全技術(shù)-參考網(wǎng)絡(luò)場(chǎng)景-、設(shè)計(jì)技術(shù)不控制問(wèn)題2010ISO 27000標(biāo)準(zhǔn)系列序號(hào)標(biāo)準(zhǔn)標(biāo)準(zhǔn)名稱年仹22ISO/IEC 27034-1-安全技術(shù)-應(yīng)用安全-應(yīng)用安全概述不概念201123ISO/IEC 27034-2-安全技術(shù)-應(yīng)用安全-組織規(guī)范框架未發(fā)布24ISO/IEC 27034-3-安全技術(shù)-應(yīng)用安全-應(yīng)用安全管理流程未發(fā)布25ISO/IEC 27034-4-安全技術(shù)-應(yīng)用安全-應(yīng)用安全驗(yàn)證未發(fā)布26ISO/IEC 27034-5-安全技術(shù)-應(yīng)用安全-協(xié)議和應(yīng)用安全控制數(shù)據(jù)結(jié)構(gòu)未發(fā)布27ISO/IEC 270

20、34-6-安全技術(shù)-應(yīng)用安全-特定應(yīng)用安全指南未發(fā)布28ISO/IEC 27035-安全技術(shù)-事件管理201129ISO/IEC 27036-安全技術(shù)-供應(yīng)關(guān)系（4部分）未發(fā)布30ISO/IEC 27040-安全技術(shù)-安全未發(fā)布31ISO/IEC 27044-安全技術(shù)-安全信息不事態(tài)管理指南未發(fā)布ISO 27000標(biāo)準(zhǔn)系列序號(hào)標(biāo)準(zhǔn)標(biāo)準(zhǔn)名稱年仹22ISO/IEC 27034-1-安全技術(shù)-應(yīng)用安全-應(yīng)用安全概述不概念201123ISO/IEC 27034-2-安全技術(shù)-應(yīng)用安全-組織規(guī)范框架未發(fā)布24ISO/IEC 27034-3-安全技術(shù)-應(yīng)用安全-應(yīng)用安全管理流程未發(fā)布25ISO/IEC 27034-4-安全技術(shù)-應(yīng)用安全-應(yīng)用安全驗(yàn)證未發(fā)布26ISO/IEC 27034-5-安全技術(shù)-應(yīng)用安全-協(xié)議和應(yīng)用安全控制數(shù)據(jù)結(jié)構(gòu)未發(fā)布27ISO/IEC 27034-6-安全技術(shù)-應(yīng)用安全-特定應(yīng)用安全指南未發(fā)布28ISO/IEC 27035-安全技術(shù)-事件管