ITSS國家標準組成員 ISOSC40 IT治理專家 潘蓉
2013版的ISO27001已經於2013年10月1日正式發布,新版標準反映了與業務的融合,與全面風險管理的融合,與治理的融合,體現在新標準中對績效的重視,對風險評估方法論的修改。這與IT治理的目標也高度壹致。
IT治理的驅動力意在從董事會等治理層面確立IT的價值,投資的決策機制,確保IT戰略與業務戰略的壹致性,革新性地驅動業務的發展。信息安全管理新標準從風險與成本的平衡過渡到要定期報告信息安全管理績效,反應了信息安全管理標準的發展進入成熟期,也反應了治理層面更加重視對信息安全投入的預期的監控,同時對風險管理的度量也是相關方,管理層***同關心的話題。
(見標準條款5.1e, 5.3b, 6.1.1a, 6.1.1.e2,9.1)
信息安全的目標是與業務的發展目標高度壹致,因此新標準要求信息安全風險管理要聚焦信息,而信息是融合在整個業務流程中,新的標準摒棄了原來識別資產,資產威脅與脆弱性的方法論,肯定了管理層面以業務價值為基礎,識別信息,確定信息的價值,也很方便與其他以業務流程為基礎的ISO管理標準相融合。
(見標準條款5.1a/b, 6.1.2)
由於更加關註業務,新標準要求對業務,對組織目標的理解從內外部環境,包括宏觀政策,技術發展,行業動向,微觀的組織環境來分析。環境因素對業務的影響,對信息安全的要求。管理層重視信息安全管理目標如何支持業務戰略。
(見標準條款 4.1, 4.2, 5.1a, 5.2a)
信息安全風險在新標準裏變得更加生動,中性,風險也可能意味著機會。新標準要求定義風險責任人,這個責任人更可能是業務的負責人或某項具體活動的負責人,而不僅僅是IT人員。對信息安全風險的偏好與態度完全與組織的全面風險管理框架相融合。
(見標準條款 6.1.1.d/e,6.1.2.C2; ) 1. 雲技術的廣泛應用,外包業務的興起,供應鏈的安全風險管理從組織的戰略層面到日常運作層面都要識別,利用,控制。新增供應鏈關系管理,關註供應鏈關系中的信息安全,服務商交付過程的信息安全。
(見標準條款4.3.c;8.1, A.15)
2. 同時,大數據的興起,數據泄露的風險加大,標準將加密控制從壹個控制目標項上升為壹個控制域。
(見標準條款 A.10)
3. 移動互聯從生活到辦公,新增移動設備使用的安全策略。
(見標準條款 A.6.2.1)
4. 組織層面除了日常運作,還需特別考慮項目的信息安全管理,這是新增控制項,同時完善了系統開發的全生命周期的信息安全管理,包括需求分析,開發環境,測試數據保護,測試驗收,變更管理,開發外包管理等控制項。
(見標準條款A.6.1.5, A.14.1/2/3)
5. 新技術和風險點的出現,風險處理采取的控制措施不再拘泥於附錄A。附錄A僅作為基本必須的選項。(見標準條款 6.1.3c) 從結構來說,新版標準與其他ISO系列標準的框架完全壹致,遵從ISO導則83,這是ISO管理體系認證標準的基本框架,方便與ISO其他管理體系的整合。
新標準的框架摘錄如下
0 介紹
1 範圍
2 規範性引用文件
3 術語與定義
4 組織的情景, 這部分與ISO31000保持壹致
5 領導力, 特別要求高層指導,支持信息安全人員致力於提高管理有效性,展示他們在各自負責領域的領導力
6 策劃
7 支持, 這部分包括資源,為組織服務的人員能力,信息安全意識要求,特別要求制定就信息安全的內外部溝通的流程。
8 日常運作,描述ISMS實施要求,包括信息安全風險評估和處置;
9 績效評審,描述監視,測量和評審活動的要求;
10 改進,描述改善活動的要求;其中取消了預防措施,風險管理本身就是主動的預防。