1、ISO27000 新版解读系列文档二 ISO27001:2013 解读精要老李飞刀 版权所有 内部公开ISO27001:2013 新版解读精要新版解读精要V1.01.1.综述 综述 ISO/IEC 27001(信息安全管理体系国际标准)是全球范围内发展最为快速的管理体系标准之一,2005 年发布迄今在全国 100 多个国家中已签发 17,500 多张证书,证书数量保持每年两位数增长。信息安全最佳实践标准 ISO/IEC27002 为该 ISO27001 的使用提供了必要的支持。这两个标准均通过国际标准化组织(该组织的成员包括 47 个国家标准机构)达成共识的方式而制定。信息安全管理体系国际标准
2、新版BSISO/IEC27001:2013与BSISO/IEC27002:2013在2013年10月已正式发布。相关的几个标准,包括 27003,27004,27005 亦正在修订中。ISO27001:2013 版(以下简称新版)大幅修改了结构,以适应未来管理体系标准中使用的新的架构,简化与其他管理体系的整合。标准新版删除了旧版中重复、不适用的内容,结构上更清晰,内容上更精炼,逻辑上更严谨结构上更清晰,内容上更精炼,逻辑上更严谨,并且在管理要求的定义上变得更具弹性,给予组织更灵活的实施空间给予组织更灵活的实施空间。值得信息安全从业人员去学习、实践。本文为“ISO27000 标准族新版解读系列”
3、的第二篇,笔者从 ISMS 项目实施及咨询顾问的视角,和大家一起来研究一下新版标准的变化以及如何将现有体系向新版转换;由于 ISO27001:2013 推出不久,笔者接触时间有限,文中如有不当之处,敬请读者指正。(笔者的 QQ 及邮箱为 46040336QQ.COM)。2.2.标准新版与旧版的差异 标准新版与旧版的差异 2.1 整体变化整体变化 ISO27000 新版解读系列文档二 ISO27001:2013 解读精要老李飞刀 版权所有 内部公开注注:图 1 ISO 27001:2005 有 11 个域、133 项控制措施,新版已调整为 14 个域、114 项控制措施。2.2 正文的变化正文的
4、变化a)编写架构编写架构新版编写终于采用了标准化的ISO Annex SL通用架构(同ISO22301),采用此架构的好处在于可将各标准的要求,以统一的架构进行描述。Annex SL架构考虑了管理体系间的兼容性,有利于不同管理体系间进行接轨、整合。b)PDCA 与持续改进与持续改进PDCA 是旧版标准中强调在体系建设及实施过程使用的过程方法,新版标准中已不见旧版 0.2 中大段对过程方法 PDCA 模型的描述,取而代之的是正文 10.2 中的一句“持续改进”。但从标准编写的目录结构上看,新版调整为 Planning-Support-Operation-Performance evaluatio
5、n-Improvement,架构上其实是更趋 PDCA了。至于为什么在 Planning 与 Operation 间插一个 Support,而不是把 Support 的内容简单纳入到Leadership 和 Planning 以保持框架的简洁,个人是不大理解。或许这正是 BSI/ISO 的特色吧。图 2ISO27001:2013 文件结构与 PDCAc)风险评估方法风险评估方法新版简化了对风险识别、风险分析的要求的描述,不再强调对资产责任人、威胁、脆弱性等进行识别,这意味着组织可选用的风险评估的方法可以更加宽泛和灵活。组织可以根据自身的情况,选用简化的风险评估方法,或继续使用现行的方法。新版中
6、依然未明确评估周期。(6.1.2)。(老李:实操层面,当前风险评估可参照的标准有 ISO31000,GBT20984,ISO27005,但此类标准都有各自的问题,包括逻辑性、操作性,实际应用中要有所取舍)。ISO27000 新版解读系列文档二 ISO27001:2013 解读精要老李飞刀 版权所有 内部公开d)风险属主风险属主6.1.2 识别风险中“风险属主”替代了“资产责任人”。资产所有者未必是风险属主,风险属主可以是资产的管理者、该风险管控的负责人(如部门领导)、或组织领导者等。(6.1.2)e)风险处置风险处置 组织可自行选择所需控制,而不仅限于从附录 A 中选择;明确了风险处置计划和残
7、余风险需要风险属主审批。(6.1.3)。注意,风险属主可能是一个人、多个人或一个代表,也包括非 IT 人员。f)RA 参考标准参考标准明确信息安全风险评估和风险处置过程与 ISO31000:2009 相一致。备注中的风险评估参考文件从 ISO/IEC TR 13335-3,信息技术-IT 安全管理指南-IT 安全管理技术变成了 ISO31000:2009。(6.1.3)g)信息安全目标信息安全目标对信息安全目标及实现的要求独立为 6.2,6.2 中对目标的制定、沟通、测量、时间计划、更新、职责等的要求比旧版更为明确。h)文档要求文档要求旧版中 4.2Documentationrequireme
8、nts 变成了新版的 7.5Documentationinformation,对于文件“编制和更新”的要求独立出来。旧版的 4.3.2 文件控制,4.3.3 记录控制,合并为新版的“文件控制”。内容上更精简,架构上更灵活,通用性强。旧版 4.3.1 中对于强制性文件的要求在新版中不再有。新版中的Document information,指的可能是document(文件),也可能是record(记录),其目的是为了证明过程已经实施,表明体系的有效性。新版中关于文档控制的要求基本不变。但要留意新版对保留过程文档信息 Documentationinformation 的要求几乎散布了标准各个章节,包
9、括:4.3ScopeoftheISMS5.2Informationsecuritypolicy6.1.2Informationsecurityriskassessmentprocess6.1.3Informationsecurityrisktreatmentprocess6.1.3d)StatementofApplicability6.2Informationsecurityobjectives7.2d)Evidenceofcompetence7.5.1b)Documentedinformationdeterminedbytheorganizationasbeingnecessaryforth
10、eeffectivenessoftheISMS8.1Operationalplanningandcontrol8.2Resultsoftheinformationsecurityriskassessments8.3Resultsoftheinformationsecurityrisktreatment9.1 Evidence of the monitoring and measurementresults9.2g)Evidenceoftheauditprogramme(s)andtheauditresults9.3Evidenceoftheresultsofmanagementreviews1
11、0.1f)Evidenceofthenatureofthenonconformitiesandanysubsequentactionstaken10.1 g)Evidence of the results of any correctiveaction对document的要求在以上标准条款中都有重复,个人觉得比较罗嗦,当然也可理解为BSI/ISO比之前更加重视对管理文档化的要求。老李飞刀点评:老李飞刀点评:除了正文中的Documentation information的(通用)要求外,附录A的多项控制措施中也提到documented即文件化的要求,看得出标准对于文件的要求在整体上放宽了但在局部
12、却变得更严了。大家ISO27000 新版解读系列文档二 ISO27001:2013 解读精要老李飞刀 版权所有 内部公开知道管理制度文件并不是越多越好的,但问题来了,哪些文件是要写的?哪些是可以不写的?编写文件的重点或颗粒度该如何把握?这就要看各人的经验和把握了。老李认为最好的作法的是“编写文件,但要忘记文件”,什么意思呢,其实大家知道日常工作中是没有人是读着文件做事的,所有安全管理要求和控制措施应融合到已有的业务工作中去,并实现管理的流程化和电子化,达到安全工作从“有形”到“无形”,这才是安全落地的终极目标,否则相关的问题是很多的。关于此项的探讨请见本系列文章四信息安全管理体系落地的最佳实践
13、。i)外包安全外包安全明确了外包涉及的风险应受管控。对应的是附录 A.15 供应商关系中的 5 项参考控制措施。(8.1)j)测量与绩效评价测量与绩效评价旧版 4.2.2 控制措施有效性测量和 4.2.3 Monitor and review the ISMS 在新版中变成了第 9 章 Performanceevaluation。绩效评价的要求包括:监视、测量、分析、评价;并以 5W1H(测什么?如何测?何时测?何时分析?谁来分析?谁负责评价)的方式提出了监视和测量的要求。相比旧版相关要求显得逻辑更清晰,要求更明确。k)管理评审管理评审新版中已简化管理评审程序要求,如管理评审原先要求的 9 大
14、输入 5 大输出调整为新版的 6 大审查项目。而评审周期从“每年至少一次”变为“按计划定期执行”。(9.3)l)持续改进持续改进取消了旧版8.3的预防性控制的要求,因风险评估与处置本身就是预防性控制。增加了“应评审已执行纠正措施的有效性”,同时要求应确认“是否有相似的不符合项存在或可能发生”。(正文条款10)m)从标准正文中删除的要求从标准正文中删除的要求旧版条款旧版条款 要求要求 老李解读老李解读 4.2.1(g)The control objectives and controls from Annex A shall be selected as part of this process
15、 as suitable to cover these requirements.新版中明确组织可选择任何适用的控制,包括但不限于附录A的内容。4.2.1(i)Obtain management authorization to implement and operate the ISMS.旧版在风险评估条款里谈这个,有点多余,该删 4.2.3(a)(1)promptly detect errors in the results of processing;难以操作/不适当 4.2.3(a)(2)promptly identify attempted and successful securi
16、ty breaches and incidents;要求太具体/不适当 4.2.3(a)(4)help detect security events and thereby prevent security incidents by the use of indicators;and 要求太具体/不适当 4.2.3(a)(5)determine whether the actions taken to resolve a breach of security were effective.要求太具体/不适当 4.2.3(h)Record actions and events that could have an impact on the effectiveness or performance of the ISMS(see 4.3.3).要求太具体/不适当 4.3.1 Documentation shall include records of management decisions,ensure that actions are traceable to management
