力嘉咨询ISO信息管理体系,鹰潭申报信息安全管理体系

ISO27001：2013新版变化
       旧版的信息安全管理系统ISO27001:2005标准已经使用了8年，日前ISO组织（国际标准化组织）终于将新版ISO 27001:2013 DIS版（国际标准草案Draft International Standard）草稿向公众开放并征求意见，预计在今年6-7月会发布DIS终版。目前ISO组织公布的正式版本的颁布时间为2013年10月19日，在新版公布后的18至24个月内是转换缓冲期，即原有已取得证书的企业迟需要在2015年10月19日前转换到新版标准。

（1）　易整合：以前各管理系统对管理制度面的要求有不太一致的描述方式，且章节不一。例如管理制度的PDCA（Plan，Do，Check，Act）、政策与支持等管理制度面要求不同。在新版当中采取Annex SL做结构性要求，让不同管理系统易于接轨、整合。Annex SL的结构是ISO组织未来所有管理制度制定时的重要依据，目前已经有ISO 22301（前BS 25999营运持续管理系统）和这次的ISO 27001新版都已采此结构进行调整。预计已颁布的标准如ISO9000/ ISO20000未来的改版也将以相同的思路进行调整。

更多参考：此次ISO也新增许多指引供企业参考，组织可以通过不同的面以及风险进行深度的强化，通过ISO 27001验证只是基本要求。目前ISO 27000系列指引编号已超过44号（001-044），例如金融服务、数字鉴识、供应链管理（4本）、软件开发测试等，主管机关可参考这些指引做升级的要求。

ISO27001信息安全管理体系概述
信息安全管理体系（Information Security Management System，简称为ISMS）是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系（Management System，MS）思想和方法在信息安全领域的应用。近年来，伴随着ISMS国际标准的制修订，ISMS迅速被全球接受和认可，成为、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。

PDCA的应用
P—建立信息安全管理体系环境&风险评估
要启动PDCA 循环，有“启动器”：提供的资源、选择风险管理方法、确定评审方法、文件化实践。设计策划阶段就是为了确保正确建立信息安全管理体系的范围和详略程度，识别并评估所有的信息安全风险，为这些风险制定适当的处理计划。策划阶段的所有重要活动都要被文件化，以备将来追溯和控制更改情况。

ISO27001认证即信息安全管理体系认证。信息安全管理要求ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分： BS7799-1，信息安全管理实施规则 BS7799-2，信息安全管理体系规范。部分对信息安全管理给出建议，供负责在其组织