ISO27001:2013新版变化
旧版的信息安全管理系统ISO27001:2005标准已经使用了8年,日前ISO组织(国际标准化组织)终于将新版ISO 27001:2013 DIS版(国际标准草案Draft International Standard)草稿向公众开放并征求意见,预计在今年6-7月会发布DIS终版。目前ISO组织公布的正式版本的颁布时间为2013年10月19日,在新版公布后的18至24个月内是转换缓冲期,即原有已取得证书的企业迟需要在2015年10月19日前转换到新版标准。
ISO27001信息安全管理体系 此次改版与旧版相比主要有三大差异:一、管理体系更容易整合;二、融入企业面临的新挑战;三、更多指引延伸参考。
模式应用
PDCA简介
计划(Plan)——根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施;
实施(Do)——实施所选的安全控制措施;
检查(Check)——依据策略、程序、标准和法律法规,对安全措施的实施情况进行符合性检查。 [2]
改进(Action)——根据ISMS审核、管理评审的结果及其他相关信息,采取纠正和预防措施,实现ISMS
的持继改进。
问:ISO27001认证是什么?
答:信息安全管理实施规则BS7799-2,信息安全管理体系规范
指示部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据立组织的需要应实施安全控制的要求。
问:ISO27001信息安全管理体系认证适用范围?
答:指示信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。
