新版信息安全管理体系标准解析资料下载.pdf

1、2013版本的解析仅限于个人经验和理解，疏漏之处，欢迎有不同意见的读者来信指正。作者在研究ISO27001：2013版过程中，与国内外多家著名信息安全咨询公司和咨询专家交流了对新版控制条款的看法和意见。本文的最终成稿还需感谢他们的帮助和支持。作者邮箱： 4 ISO27001ISO27001的起源和演变的起源和演变 至今 ISO27001：2013尚未转为为国家标准 2013年10月 ISO组织正式发布ISO27001：2013版 2008年 ISO27001正式等同转化为国家标准GB/T 22080:2008 2005年 ISO17799：2000升级为ISO27002：2005 2005年

2、ISO根据修订后的BS7799-2制定了ISO27001:2005 2000年 ISO根据BS7799-1制定了ISO/IEC17799-1 1999年 BSI修订BS7799，将BS7799分为2个部分:BS7799-1、BS7799-2 1995年 英国标准协会（BSI）的BS7799标准信息安全管理实施细则 5 改版影响改版影响 ISO组织规定，新版发布后18-24个月内是认证转换缓冲期，即原有已取得ISO27001证书的企业最迟需要在2015年10月19日前转换到新版标准。国外目前已经不再颁发ISO27001：2005的证书了，但由于中国目前尚未发布与ISO27001：2013对应的国

3、家标准，所以目前国内还是依据与ISO27001：2005对应的GB/T22080：2008来进行认证。对此，中国合格评定国家认可委员会（CNAS）规定：“自2014年9月1日至2015年7月31日，CNAS将结合年度监督或复评的办公室评审，对已认可的ISMS认证机构实施转换评审。如有需要，认证机构也可向CNAS申请专项评审，以完成转换。自2015年8月1日以后，CNAS不再安排针对ISO/IEC 27001:2013转换的现场评审工作。”6 新版特点新版特点 1.易整合：在新版当中采用ISO导则83做结构性要求，这个结构未来在ISO其他标准改版中会普遍采用。（ISO 22301已应用）信息安全

4、管理体系更容易与其他管理体系进行融合。2.新要求：将旧版11个控制领域拓展到14个，结构更合理，表现更清晰。将旧版133个控制项缩减到113个。对部分控制项进行取消、合并和新增，以反映当前信息安全发展趋势。3.清晰明确：对旧版一些表述不清晰、不准确以及重复的部分控制项予以调整。7 国际标准的未来框架国际标准的未来框架 ISO组织对管理体系标准在结构、格式、通用短语和定义方面进行了统一。这将确保今后编制或修订管理体系标准的持续性、整合性和简单化，这也将使标准更易读、易懂。新的框架重新构建了ISO标准PDCA的章节架构 国际标准的未来框架 8 ISOISO导则导则8383 9 新旧版本正文结构变化

5、新旧版本正文结构变化 10 新版标准正文内容新版标准正文内容 Plan 4 组织环境 了解组织背景及现状 理解相关方的需求和期望 ISMS的范围 ISMS 5 领导力 领导作用和承诺 方针 角色、职责和授权 6 策划 处理风险和机遇的行动 实现ISMS的目标和实施计划 7 支持 资源 能力 意识 沟通 文件化信息 Do 8 运行 运行计划和控制 信息安全风险评估 信息安全风险处置 Check 9 绩效评价 监视、测量、分析、评价 内部审核 管理评审 Act 10 改进 不符合项与纠正措施 持续改进 11 新旧版本附录新旧版本附录A A部分的变化部分的变化 12 为什么要调整为什么要调整2005

6、2005版的附录版的附录A A 1.ISO27001：2005控制项逻辑性与充分性等方面存在进一步改进的空间。2.ISO27001：2005附录A中，存在分散的、重复的、不清晰的控制项。如，A6.1.3信息安全职责分配、A8.1.1角色和职责；3.ISO27001：2005附录A中，存在过于细化的操作层面的控制项。如，A12.2.1输入数据的验证、A12.2.2内部处理的控制、A12.2.3 消息完整性、A12.3.4输出数据验证 13 新旧版本附录新旧版本附录A A控制域变化控制域变化 1.从原本的11个控制域调整为14个控制域；2.新增了“密码学”、“供应关系”两个控制域；3.将原本的控制

7、域“通信及操作管理”拆分为“操作安全”、“通信安全”两个控制域。注意：除新增和拆分的4个控制域外，其他控制域并非与旧版一一对应。14 新旧版本附录新旧版本附录A A控制项变化控制项变化 控制项从原来的133项调整为114项，其中的变化分为5大类：1.没有变化，只是调整了编号和顺序结构；2.变化替代，控制对象或控制范围发生了变化；3.完全删除，在新版本中取消了该项控制措施；4.合并删除，在新版本中，有其他控制项覆盖了其控制内容；5.新增，2005版没有该项控制措施，2013版新增内容 15 新版本附录新版本附录A A解析解析 A5A5 ISO27001：2005 A5 安全方针 A6 信息安全组

8、织 A7 资产管理 A8 人力资源安全 A9 物理和环境安全 A10 通信和运作管理 A11 访问控制 A12 信息系统的获取开发以及维护 A13 信息安全事件管理 A14 业务连续性管理 A15 符合性 ISO27001:2013 A5 安全方针 A6 信息安全组织 A7 人力资源安全 A8 资产管理 A9 访问控制 A10 密码学 A11 物理环境安全 A12 操作安全 A13 通信安全 A14 信息系统的获取、开发和维护 A15 供应商关系 A16 信息安全事件管理 A17 信息安全方面的业务连续性管理 A18 符合性 16 新版本附录新版本附录A A解析解析 A5A5 A5 安全方针1

9、来源A5.1 信息安全管理方针目标：依据业务要求以及相关的法律法规提供管理指导并支持信息安全。A5.1.1信息安全方针文件信息安全方针文件应该由管理者批准、发布并传递给所有员工和外部相关方。A5.1.1A5.1.2信息安全方针的评审应按计划的时间间隔或者当重大变化发生时进行信息安全方针评审，以确保它持续适宜性、充分性和有效性。A5.1.217 新版本附录新版本附录A A解析解析 A6A6 ISO27001：2013 A5 安全方针 A6 信息安全组织 A7 人力资源安全 A8 资产管理 A9 访问控制 A10 密码学 A11 物理环境安全 A12 操作安全 A13 通信安全 A14 信息系统的

10、获取、开发和维护 A15 供应商关系 A16 信息安全事件管理 A17 信息安全方面的业务连续性管理 A18 符合性 18 新版本附录新版本附录A A解析解析 A6A6 A6 信息安全组织7来源A6.1 内部组织目标：建立一个管理框架，以启动和控制组织内信息安全的实施和运行。A6.1.1信息安全的角色和职责所有信息安全职责应被定义及分配。A6.1.3A8.1.1A6.1.2责任分割冲突的职责和权限应被分开，以减少对组织资产未经授权或无意的修改与误用。A10.1.3A6.1.3与监管机构的联系应与监管机构保持适当的联系。A6.1.6A6.1.4与特殊利益团体的联系与特定礼仪团队、其他专业安全论坛

11、或行业协会应保持适当联系。A6.1.7A6.1.5项目管理中的信息安全信息安全应融入所受项目管理中，不论项目类型。新增A6.2 移动设备和远程办公目标：确保远程办公和使用移动设备的安全性。A6.2.1移动设备策略应使用配套策略和安全措施来防范因使用移动设备带来的风险。A11.7.1A6.2.2远程办公应使用配套策略和安全措施来保护在远程对信息的访问、处理和存储。A11.7.219 新版本附录新版本附录A A解析解析 A7A7 ISO27001：2013 A5 安全方针 A6 信息安全组织 A7 人力资源安全 A8 资产管理 A9 访问控制 A10 密码学 A11 物理环境安全 A12 操作安全

12、 A13 通信安全 A14 信息系统的获取、开发和维护 A15 供应商关系 A16 信息安全事件管理 A17 信息安全方面的业务连续性管理 A18 符合性 20 新版本附录新版本附录A A解析解析 A7A7 A7 人力资源安全6来源A7.1 任用之前目标：确保雇佣和承包方人员理解其职责、考虑对其承担的角色是适合的。A7.1.1审查对所有任用的候选者的背景验证核查应按照相关法律、法规、道德规范和对应的业务需求、被访问信息的类别和察觉的风险来执行。A8.1.2A7.1.2任用的条款及条件员工和承包方人员应同意并签署任用合同中关于表明他们和组织的信息安全职责的条款和条件。A8.1.3A7.2 任用中

13、目标：确保员工和承包方人员用户知悉并履行信息安全职责。A7.2.1管理职责管理者应该要求员工和承包方人员按照组织已建立的方针策略和规程对安全尽心尽力。A8.2.1A7.2.2信息安全意识、教育和培训组织的所有员工，适当时，包括承包方人员应受到与其工作职能相关的适当的意识培训和组织方针策略及程序的定期更新培训。A8.2.2A7.2.3纪律处理过程对于安全违规的雇员，应有一个正式与可沟通的纪律处理过程。A8.2.3A7.3 任用的终止或变化目标：保证组织利益是雇佣终止和变更的一部分。A7.3.1任用终止或变化的责任应该界定任用终止或变更后依然有信息安全责任和义务的员工或承包方人员，并进行沟通和执行

14、。A8.3.121 新版本附录新版本附录A A解析解析 A8A8 ISO27001：2013 A5 安全方针 A6 信息安全组织 A7 人力资源安全 A8 资产管理 A9 访问控制 A10 密码学 A11 物理环境安全 A12 操作安全 A13 通信安全 A14 信息系统的获取、开发和维护 A15 供应商关系 A16 信息安全事件管理 A17 信息安全方面的业务连续性管理 A18 符合性 22 新版本附录新版本附录A A解析解析 A8A8 A8 资产管理10来源A8.1 对资产负责目标：实现和保持对组织资产的适当保护A8.1.1资产清单应识别与信息和信息处理设施相关的资产，并编制和维护资产清单。A7.1.1A8.1.2资产责任人应为资产清单内的资产指定责任人。A7.1.2A8.1.3资产的合理使用与信息处理设施有关的信息和