菜单

打电话给我们 03450 21 21 51

27001:2013一个轮廓
SRM.博客

27001:2013一个轮廓

SRM.

写道 SRM.

2015年8月10日

分享这篇文章

Ian Armstrong简要概述了关于新ISMS标准27001:2013的事实

它是什么?
27001:2013 27001:2013是由国际标准化(ISO)和国际电工委员会(IEC)在2013年9月25日发表的最新信息安全管理系统(ISMS)标准,并在联合ISO和IEC小组委员会下, ISO / IEC JTC 1 / SC 27.它取代了ISO / IEC 27001:2005年10月1日在2015年10月1日之后不再有效。

符合新标准的组织将获得独立和认可的认证机构颁发的官方认证,以成功完成正式审计流程。

它有什么作用?
27001:2013有十个短条款,涵盖了标准的范围;通过规划信息安全管理系统风险评估和纠正措施。另一个附件(附件a)列出了控件及其目标。该结构反映了其他新管理标准的结构,例如ISO 22301(业务连续性管理),帮助希望通过遵守多种标准来从不同的角度来改善他们的组织。

与ISO / IEC 27001:2005有何不同?
新标准更加强调测量和评估,以规范组织的表现如何。它还强调目标,监测性能和指标。

此外,现在有一个关于外包的一部分,以表彰许多组织依靠第三方提供其某些方面的事实。它还更多地关注公司信息安全的组织背景,风险评估条款发生了变化。风险评估现在与BS ISO 31000对齐。

介绍了新的控件,反映了对影响许多组织的技术的变化;例如,云。附件A中的控件也被修改以反映更改威胁,删除重复并具有更多的逻辑分组。在供应商关系中加密和安全性附加了特定的控制。然而,新标准实际上的控制器比其前身与114组分为14组的前身,而11个组中的133个控制。

实施ISO 27001:2013
希望采取新标准的企业将预期完成适用性的陈述,该声明应该在第一次审计时完成。要开始应用程序,关注的关键领域是:
•建立管理核准的信息安全目标,并为关键人员分配特定的安全角色;
•同意内部审计时间表,以确保已完成相关审核并安排风险评估和风险处理,以便及时完成;
•将信息安全策略传达给需要了解它的每个人,并具有通信计划,详细介绍了员工如何保持最新;
•每年至少持有一个管理审查,以建立这些议定书,并确保该会议的几分钟可用。
•开始收集相关控制尽早需要的任何证据。这将包括与第三方相关合规性的证据,包括客户:客户,供应商和最终用户。

综上所述
•ISO 27001定义了一套全面的控件,以提供评估工具,从而减少公司资产的信息安全风险。
•它提供了信息安全的集成方法,以帮助构建一个考虑到涵盖过程,人员和技术的所有可能的信息安全风险的系统。
•它规定了需要选择的适用控件和流程,以确保适当管理所有信息安全风险。

 

Ian Armstrong(PCI QSA,Cism,Crisc,PG DIO INF SEC)