新版信息安全管理体系标准解析.pdf

新版信息安全管理体系标准解析.pdf

《新版信息安全管理体系标准解析.pdf》由会员分享，可在线阅读，更多相关《新版信息安全管理体系标准解析.pdf（46页珍藏版）》请在冰豆网上搜索。

中国信息安全认证中心江苏分中心陈多陈多思思新版信息安全管理体系标准解析2引言引言信息安全管理体系标准（ISO27001：

2005），自国际标准化组织（ISO）于2005年发布以来，已经使用8年。

依据惯例，ISO组织每个5年左右将会对标准进行一次升级，在2013年10月19日，ISO组织正式发布了新版的信息安全管理体系标准（ISO27001：

2013）。

本文目的在于为读者详细介绍ISO27001：

2013的演变、价值、框架及内容解读，提供一条关于全面了解ISO27001：

2013的途径，帮助大家顺利从2005版过渡到2013版。

3内容声明内容声明因为ISO组织并未发布关于本次ISO27001：

2013版本官方的升级说明，所以下文中对ISO27001：

2013版本的解析仅限于个人经验和理解，疏漏之处，欢迎有不同意见的读者来信指正。

作者在研究ISO27001：

2013版过程中，与国内外多家著名信息安全咨询公司和咨询专家交流了对新版控制条款的看法和意见。

本文的最终成稿还需感谢他们的帮助和支持。

作者邮箱：

4ISO27001ISO27001的起源和演变的起源和演变至今ISO27001：

2013尚未转为为国家标准2013年10月ISO组织正式发布ISO27001：

2013版2008年ISO27001正式等同转化为国家标准GB/T22080:

20082005年ISO17799：

2000升级为ISO27002：

20052005年ISO根据修订后的BS7799-2制定了ISO27001:

20052000年ISO根据BS7799-1制定了ISO/IEC17799-11999年BSI修订BS7799，将BS7799分为2个部分:

BS7799-1、BS7799-21995年英国标准协会（BSI）的BS7799标准信息安全管理实施细则5改版影响改版影响ISO组织规定，新版发布后18-24个月内是认证转换缓冲期，即原有已取得ISO27001证书的企业最迟需要在2015年10月19日前转换到新版标准。

国外目前已经不再颁发ISO27001：

2005的证书了，但由于中国目前尚未发布与ISO27001：

2013对应的国家标准，所以目前国内还是依据与ISO27001：

2005对应的GB/T22080：

2008来进行认证。

对此，中国合格评定国家认可委员会（CNAS）规定：

“自2014年9月1日至2015年7月31日，CNAS将结合年度监督或复评的办公室评审，对已认可的ISMS认证机构实施转换评审。

如有需要，认证机构也可向CNAS申请专项评审，以完成转换。

自2015年8月1日以后，CNAS不再安排针对ISO/IEC27001:

2013转换的现场评审工作。

”6新版特点新版特点1.易整合：

在新版当中采用ISO导则83做结构性要求，这个结构未来在ISO其他标准改版中会普遍采用。

（ISO22301已应用）信息安全管理体系更容易与其他管理体系进行融合。

2.新要求：

将旧版11个控制领域拓展到14个，结构更合理，表现更清晰。

将旧版133个控制项缩减到113个。

对部分控制项进行取消、合并和新增，以反映当前信息安全发展趋势。

3.清晰明确：

对旧版一些表述不清晰、不准确以及重复的部分控制项予以调整。

7国际标准的未来框架国际标准的未来框架ISO组织对管理体系标准在结构、格式、通用短语和定义方面进行了统一。

这将确保今后编制或修订管理体系标准的持续性、整合性和简单化，这也将使标准更易读、易懂。

新的框架重新构建了ISO标准PDCA的章节架构国际标准的未来框架8ISOISO导则导则83839新旧版本正文结构变化新旧版本正文结构变化10新版标准正文内容新版标准正文内容Plan4组织环境了解组织背景及现状理解相关方的需求和期望ISMS的范围ISMS5领导力领导作用和承诺方针角色、职责和授权6策划处理风险和机遇的行动实现ISMS的目标和实施计划7支持资源能力意识沟通文件化信息Do8运行运行计划和控制信息安全风险评估信息安全风险处置Check9绩效评价监视、测量、分析、评价内部审核管理评审Act10改进不符合项与纠正措施持续改进11新旧版本附录新旧版本附录AA部分的变化部分的变化12为什么要调整为什么要调整20052005版的附录版的附录AA1.ISO27001：

2005控制项逻辑性与充分性等方面存在进一步改进的空间。

2.ISO27001：

2005附录A中，存在分散的、重复的、不清晰的控制项。

如，A6.1.3信息安全职责分配、A8.1.1角色和职责；3.ISO27001：

2005附录A中，存在过于细化的操作层面的控制项。

如，A12.2.1输入数据的验证、A12.2.2内部处理的控制、A12.2.3消息完整性、A12.3.4输出数据验证13新旧版本附录新旧版本附录AA控制域变化控制域变化1.从原本的11个控制域调整为14个控制域；2.新增了“密码学”、“供应关系”两个控制域；3.将原本的控制域“通信及操作管理”拆分为“操作安全”、“通信安全”两个控制域。

注意：

除新增和拆分的4个控制域外，其他控制域并非与旧版一一对应。

14新旧版本附录新旧版本附录AA控制项变化控制项变化控制项从原来的133项调整为114项，其中的变化分为5大类：

1.没有变化，只是调整了编号和顺序结构；2.变化替代，控制对象或控制范围发生了变化；3.完全删除，在新版本中取消了该项控制措施；4.合并删除，在新版本中，有其他控制项覆盖了其控制内容；5.新增，2005版没有该项控制措施，2013版新增内容15新版本附录新版本附录AA解析解析A5A5ISO27001：

2005A5安全方针A6信息安全组织A7资产管理A8人力资源安全A9物理和环境安全A10通信和运作管理A11访问控制A12信息系统的获取开发以及维护A13信息安全事件管理A14业务连续性管理A15符合性ISO27001:

2013A5安全方针A6信息安全组织A7人力资源安全A8资产管理A9访问控制A10密码学A11物理环境安全A12操作安全A13通信安全A14信息系统的获取、开发和维护A15供应商关系A16信息安全事件管理A17信息安全方面的业务连续性管理A18符合性16新版本附录新版本附录AA解析解析A5A5A5安全方针1来源A5.1信息安全管理方针目标：

依据业务要求以及相关的法律法规提供管理指导并支持信息安全。

A5.1.1信息安全方针文件信息安全方针文件应该由管理者批准、发布并传递给所有员工和外部相关方。

A5.1.1A5.1.2信息安全方针的评审应按计划的时间间隔或者当重大变化发生时进行信息安全方针评审，以确保它持续适宜性、充分性和有效性。

A5.1.217新版本附录新版本附录AA解析解析A6A6ISO27001：

2005A5安全方针A6信息安全组织A7资产管理A8人力资源安全A9物理和环境安全A10通信和运作管理A11访问控制A12信息系统的获取开发以及维护A13信息安全事件管理A14业务连续性管理A15符合性ISO27001:

2013A5安全方针A6信息安全组织A7人力资源安全A8资产管理A9访问控制A10密码学A11物理环境安全A12操作安全A13通信安全A14信息系统的获取、开发和维护A15供应商关系A16信息安全事件管理A17信息安全方面的业务连续性管理A18符合性18新版本附录新版本附录AA解析解析A6A6A6信息安全组织7来源A6.1内部组织目标：

建立一个管理框架，以启动和控制组织内信息安全的实施和运行。

A6.1.1信息安全的角色和职责所有信息安全职责应被定义及分配。

A6.1.3A8.1.1A6.1.2责任分割冲突的职责和权限应被分开，以减少对组织资产未经授权或无意的修改与误用。

A10.1.3A6.1.3与监管机构的联系应与监管机构保持适当的联系。

A6.1.6A6.1.4与特殊利益团体的联系与特定礼仪团队、其他专业安全论坛或行业协会应保持适当联系。

A6.1.7A6.1.5项目管理中的信息安全信息安全应融入所受项目管理中，不论项目类型。

新增A6.2移动设备和远程办公目标：

确保远程办公和使用移动设备的安全性。

A6.2.1移动设备策略应使用配套策略和安全措施来防范因使用移动设备带来的风险。

A11.7.1A6.2.2远程办公应使用配套策略和安全措施来保护在远程对信息的访问、处理和存储。

A11.7.219新版本附录新版本附录AA解析解析A7A7ISO27001：

2005A5安全方针A6信息安全组织A7资产管理A8人力资源安全A9物理和环境安全A10通信和运作管理A11访问控制A12信息系统的获取开发以及维护A13信息安全事件管理A14业务连续性管理A15符合性ISO27001:

2013A5安全方针A6信息安全组织A7人力资源安全A8资产管理A9访问控制A10密码学A11物理环境安全A12操作安全A13通信安全A14信息系统的获取、开发和维护A15供应商关系A16信息安全事件管理A17信息安全方面的业务连续性管理A18符合性20新版本附录新版本附录AA解析解析A7A7A7人力资源安全6来源A7.1任用之前目标：

确保雇佣和承包方人员理解其职责、考虑对其承担的角色是适合的。

A7.1.1审查对所有任用的候选者的背景验证核查应按照相关法律、法规、道德规范和对应的业务需求、被访问信息的类别和察觉的风险来执行。

A8.1.2A7.1.2任用的条款及条件员工和承包方人员应同意并签署任用合同中关于表明他们和组织的信息安全职责的条款和条件。

A8.1.3A7.2任用中目标：

确保员工和承包方人员用户知悉并履行信息安全职责。

A7.2.1管理职责管理者应该要求员工和承包方人员按照组织已建立的方针策略和规程对安全尽心尽力。

A8.2.1A7.2.2信息安全意识、教育和培训组织的所有员工，适当时，包括承包方人员应受到与其工作职能相关的适当的意识培训和组织方针策略及程序的定期更新培训。

A8.2.2A7.2.3纪律处理过程对于安全违规的雇员，应有一个正式与可沟通的纪律处理过程。

A8.2.3A7.3任用的终止或变化目标：

保证组织利益是雇佣终止和变更的一部分。

A7.3.1任用终止或变化的责任应该界定任用终止或变更后依然有信息安全责任和义务的员工或承包方人员，并进行沟通和执行。

A8.3.121新版本附录新版本附录AA解析解析A8A8ISO27001：

2005A5安全方针A6信息安全组织A7资产管理A8人力资源安全A9物理和环境安全A10通信和运作管理A11访问控制A12信息系统的获取开发以及维护A13信息安全事件管理A14业务连续性管理A15符合性ISO27001:

2013A5安全方针A6信息安全组织A7人力资源安全A8资产管理A9访问控制A10密码学A11物理环境安全A12操作安全A13通信安全A14信息系统的获取、开发和维护A15供应商关系A16信息安全事件管理A17信息安全方面的业务连续性管理A18符合性22新版本附录新版本附录AA解析解析A8A8A8资产管理10来源A8.1对资产负责目标：

实现和保持对组织资产的适当保护A8.1.1资产清单应识别与信息和信息处理设施相关的资产，并编制和维护资产清单。

A7.1.1A8.1.2资产责任人应为资产清单内的资产指定责任人。

A7.1.2A8.1.3资产的合理使用与信息处理设施有关的信息和