ISO/IEC 27001:2013新版信息安全管理国际标准正式发布

         信息安全管理体系国际标准新版BS ISO/IEC 27001:2013与BS ISO/IEC 27002:2013日前已正式发布。信息安全管理体系标准帮助企业有效管理其信息安全,该标准由权威标准机构BSI率先构思,并以BS 7799为基础。信息安全管理体系国际标准的2013修订版本将使各个规模的企业以及各个行业能够顺应信息管理领域的飞速变化与日益增加的复杂性,同时从 容应对网络安全所面临的新挑战。

与1995年首次发布的信息安全管理体系标准BS 7799相比,如今的业务开展方式已经迥然不同,科技的进步意味着信息安全需求也随之而变。2013新版标准将帮助企业进一步改变"信息安全仅限于IT" 的固有思维,并纳入了更为广泛的元素,例如人的因素。此外,新版本还充分考量了与其他管理体系标准之间的互动以及风险管理与业务连续性管理等方面的问题。

ISO/IEC 27001是全球范围内发展最为快速的管理体系标准之一。该标准用于第三方认可认证,迄今在100个国家中已签发17,500多张证书,年增长趋势呈两位 数增长。信息安全良好实践导则标准ISO/IEC 27002为该标准的使用提供了必要的支持。这两个标准均通过国际标准化组织(该组织的成员包括47个国家标准机构)达成共识的方式而制定。

BSI市场拓展部风险主管Anne Hayes表示:"企业需要持续关注在信息安全方面出现新的问题,并确保其实践惯例与当前的商业环境相符。工作场所中信息技术的飞速发展与普及性,加上人 们的网络安全重要性意识提高,意味着需要格外保持持续改进,而如今,新的标准能够带来更好的保障。"

《ISO/IEC 27001信息技术—安全技术—信息安全管理体系—要求》规定了建立、实施、维护和持续改进信息安全管理体系方面的要求。

重要变更:

  • 修改标准结构,以适应所有管理体系标准中使用的新的架构,简化与其他管理体系的整合
  • 新增2005版用户的反馈意见,并充分考量了最近8年的技术演变趋势

企业如何从ISO/IEC 27001中获益:

  • 跻身实施此类标准的全球知名企业之列,提高企业声誉
  • 识别风险,实施必要的控制措施,妥善管理或降低风险,为企业提供充分保护
  • 妥善保护数据,赢得利益相关方与客户的信任
  • 证明自身的合规性,获取首选供应商资质,从而增加赢得中标的机会

《ISO/IEC 27002 信息技术—安全技术—信息安全控制措施实践导则》提供了有关如何将ISO/IEC 27001用于组织信息安全标准与信息安全管理的指导方针。

重要变更:

  • 删除了与ISO/IEC 27001重复的内容,使客户更加易于使用
  • 修订并简化了导则,以满足新的/现有的信息安全需求

企业如何从ISO/IEC 27002中获益:

  • 提供灵活的控制措施,以企业期望的方式加以使用,为其提供充分保护(单独使用、与ISO/IEC 27001共同使用,或与其他方法一同使用)
  • 反映出企业面临的新威胁

最后,ISO/IEC 27001:2013采用了所有管理体系标准采用的新架构与文本内容。对于已经通过ISO 27001:2005的公司,BSI拥有一系列有效工具,能够帮助客户顺利转变到新的标准。此类工具包括培训课程、转变指南、网络研讨会与实体研讨会。