27001-2013新版信息安全管理体系标准解析

新版信息安全管理体系标准解析

中国信息安全认证中心江苏分中心 陈多思

引言

信息安全管理体系标准（ISO27001：2005） ，自国际标准化组织（ISO）于2005年发布以来，已经使用8年。依据惯例，ISO组织每个5年左右将会对标准进行一次升级，在2013年10月19日，ISO组织正式发布了新版的信息安全管理体系标准（ISO27001：2013）。

本文目的在于为读者详细介绍ISO27001：2013的演变、价值、框架及内容解读，提供一条关于全面了解ISO27001：2013的途径，帮助大家顺利从2005版过渡到2013版。

2

内容声明

因为ISO组织并未发布关于本次ISO27001：2013版本官方的升级说明，所以下文中对

ISO27001：2013版本的解析仅限于个人经验和理解，疏漏之处，欢迎有不同意见的读者来信指正。

作者在研究ISO27001：2013版过程中，与国内外多家著名信息安全咨询公司和咨询专家交流了对新版控制条款的看法和意见。本文的最终成稿还需感谢他们的帮助和支持。

作者邮箱：chends@http://doc.guandang.net

3

ISO27001的起源和演变

4

改版影响

ISO组织规定，新版发布后18-24个月内是认证转换缓冲期，即原有已取得ISO27001证书的企业最迟需要在2015年10月19日前转换到新版标准。

国外目前已经不再颁发ISO27001：2005的证书了，但由于中国目前尚未发布与ISO27001：2013对应的国家标准，所以目前国内还是依据与ISO27001：2005对应的GB/T22080：2008来进行认证。对此，中国合格评定国家认可委员会（CNAS）规定：

“自2014年9月1日至2015年7月31日，CNAS将结合年度监督或复评的办公室评审，对已认可的ISMS认证机构实施转换评审。如有需要，认证机构也可向CNAS申请专项评审，以完成转换。自2015年8月1日以后，CNAS不再安排针对ISO/IEC 27001:2013转换的现场评审工作。 ”

5

新版特点

1.易整合：在新版当中采用ISO导则83做结构性要求，

这个结构未来在ISO其他标准改版中会普遍采用。（ ISO 22301已应用）信息安全管理体系更容易与其他管理体系进行融合。

2.新要求：将旧版11个控制领域拓展到14个，结构

更合理，表现更清晰。将旧版133个控制项缩减到113个。对部分控制项进行取消、合并和新增，以反映当前信息安全发展趋势。

3.清晰明确：对旧版一些表述不清晰、不准确以及

重复的部分控制项予以调整。

6

国际标准的未来框架

ISO组织对管理体系标准在结构、格式、通用短语和定义方面进行了统一。这将确保今后编制或修订管理体系标准的持续性、整合性和简单化，这也将使标准更易读、易懂。

新的框架重新构建了ISO标准PDCA的章节架构

7

ISO导则83 国际标准的未来框架

8

新旧版本正文结构变化

9

新版标准正文内容

10

新旧版本附录A部分的变化

11

为什么要调整2005版的附录A

1.ISO27001：2005控制项逻辑性与充分性等方面

存在进一步改进的空间。

2.ISO27001：2005附录A中，存在分散的、重复的、

不清晰的控制项。如， A6.1.3信息安全职责分配、A8.1.1角色和职责；

3.ISO27001：2005附录A中，存在过于细化的操作

层面的控制项。如，A12.2.1输入数据的验证、A12.2.2内部处理的控制、A12.2.3 消息完整性、A12.3.4输出数据验证

12

1.从原本的11个控制域调整为14个控制域；

2.新增了“密码学”、“供应关系”两个控制域； 3.将原本的控制域“通信及操作管理”拆分为“操

作安全”、“通信安全”两个控制域。

注意：除新增和拆分的4个控制域外，其他控制域并非与旧版一一对应。

13

控制项从原来的133项调整为114项，其中的变化分为5大类：

1.没有变化，只是调整了编号和顺序结构； 2.变化替代，控制对象或控制范围发生了变化； 3.完全删除，在新版本中取消了该项控制措施； 4.合并删除，在新版本中，有其他控制项覆盖了其

控制内容；

5.新增，2005版没有该项控制措施，2013版新增内

容

14

15

16