27001-2013新版信息安全管理体系标准解析

中国信息安全认证中心江苏分中心陈多思ISO27001：2013新版信息安全管理体系标准解析2引言信息安全管理体系标准（ISO27001：2005），自国际标准化组织（ISO）于2005年发布以来，已经使用8年。依据惯例，ISO组织每个5年左右将会对标准进行一次升级，在2013年10月19日，ISO组织正式发布了新版的信息安全管理体系标准（ISO27001：2013）。本文目的在于为读者详细介绍ISO27001：2013的演变、价值、框架及内容解读，提供一条关于全面了解ISO27001：2013的途径，帮助大家顺利从2005版过渡到2013版。3内容声明因为ISO组织并未发布关于本次ISO27001：2013版本官方的升级说明，所以下文中对ISO27001：2013版本的解析仅限于个人经验和理解，疏漏之处，欢迎有不同意见的读者来信指正。作者在研究ISO27001：2013版过程中，与国内外多家著名信息安全咨询公司和咨询专家交流了对新版控制条款的看法和意见。本文的最终成稿还需感谢他们的帮助和支持。作者邮箱：chends@isccc.gov.cn4ISO27001的起源和演变至今ISO27001：2013尚未转为为国家标准2013年10月ISO组织正式发布ISO27001：2013版2008年ISO27001正式等同转化为国家标准GB/T22080:20082005年ISO17799：2000升级为ISO27002：20052005年ISO根据修订后的BS7799-2制定了ISO27001:20052000年ISO根据BS7799-1制定了ISO/IEC17799-11999年BSI修订BS7799，将BS7799分为2个部分:BS7799-1、BS7799-21995年英国标准协会(BSI)的BS7799标准《信息安全管理实施细则》5改版影响ISO组织规定，新版发布后18-24个月内是认证转换缓冲期，即原有已取得ISO27001证书的企业最迟需要在2015年10月19日前转换到新版标准。国外目前已经不再颁发ISO27001：2005的证书了，但由于中国目前尚未发布与ISO27001：2013对应的国家标准，所以目前国内还是依据与ISO27001：2005对应的GB/T22080：2008来进行认证。对此，中国合格评定国家认可委员会（CNAS）规定：“自2014年9月1日至2015年7月31日，CNAS将结合年度监督或复评的办公室评审，对已认可的ISMS认证机构实施转换评审。如有需要，认证机构也可向CNAS申请专项评审，以完成转换。自2015年8月1日以后，CNAS不再安排针对ISO/IEC27001:2013转换的现场评审工作。”6新版特点1.易整合：在新版当中采用ISO导则83做结构性要求，这个结构未来在ISO其他标准改版中会普遍采用。（ISO22301已应用）信息安全管理体系更容易与其他管理体系进行融合。2.新要求：将旧版11个控制领域拓展到14个，结构更合理，表现更清晰。将旧版133个控制项缩减到113个。对部分控制项进行取消、合并和新增，以反映当前信息安全发展趋势。3.清晰明确：对旧版一些表述不清晰、不准确以及重复的部分控制项予以调整。7国际标准的未来框架ISO组织对管理体系标准在结构、格式、通用短语和定义方面进行了统一。这将确保今后编制或修订管理体系标准的持续性、整合性和简单化，这也将使标准更易读、易懂。新的框架重新构建了ISO标准PDCA的章节架构国际标准的未来框架8ISO导则839新旧版本正文结构变化10新版标准正文内容Plan•4组织环境•了解组织背景及现状•理解相关方的需求和期望•ISMS的范围•ISMS•5领导力•领导作用和承诺•方针•角色、职责和授权•6策划•处理风险和机遇的行动•实现ISMS的目标和实施计划•7支持•资源•能力•意识•沟通•文件化信息Do•8运行•运行计划和控制•信息安全风险评估•信息安全风险处置Check•9绩效评价•监视、测量、分析、评价•内部审核•管理评审Act•10改进•不符合项与纠正措施•持续改进11新旧版本附录A部分的变化12为什么要调整2005版的附录A1.ISO27001：2005控制项逻辑性与充分性等方面存在进一步改进的空间。2.ISO27001：2005附录A中，存在分散的、重复的、不清晰的控制项。如，A6.1.3信息安全职责分配、A8.1.1角色和职责；3.ISO27001：2005附录A中，存在过于细化的操作层面的控制项。如，A12.2.1输入数据的验证、A12.2.2内部处理的控制、A12.2.3消息完整性、A12.3.4输出数据验证13新旧版本附录A控制域变化1.从原本的11个控制域调整为14个控制域；2.新增了“密码学”、“供应关系”两个控制域；3.将原本的控制域“通信及操作管理”拆分为“操作安全”、“通信安全”两个控制域。注意：除新增和拆分的4个控制域外，其他控制域并非与旧版一一对应。14新旧版本附录A控制项变化控制项从原来的133项调整为114项，其中的变化分为5大类：1.没有变化，只是调整了编号和顺序结构；2.变化替代，控制对象或控制范围发生了变化；3.完全删除，在新版本中取消了该项控制措施；4.合并删除，在新版本中，有其他控制项覆盖了其控制内容；5.新增，2005版没有该项控制措施，2013版新增内容15新版本附录A解析A5ISO27001：2005A5安全方针A6信息安全组织A7资产管理A8人力资源安全A9物理和环境安全A10通信和运作管理A11访问控制A12信息系统的获取开发以及维护A13信息安全事件管理A14业务连续性管理A15符合性ISO27001:2013A5安全方针A6信息安全组织A7人力资源安全A8资产管理A9访问控制A10密码学A11物理环境安全A12操作安全A13通信安全A14信息系统的获取、开发和维护A15供应商关系A16信息安全事件管理A17信息安全方面的业务连续性管理A18符合性16新版本附录A解析A5A5安全方针1来源A5.1信息安全管理方针目标：依据业务要求以及相关的法律法规提供管理指导并支持信息安全。A5.1.1信息安全方针文件信息安全方针文件应该由管理者批准、发布并传递给所有员工和外部相关方。A5.1.1A5.1.2信息安全方针的评审应按计划的时间间隔或者当重大变化发生时进行信息安全方针评审，以确保它持续适宜性、充分性和有效性。A5.1.217新版本附录A解析A6ISO27001：2005A5安全方针A6信息安全组织A7资产管理A8人力资源安全A9物理和环境安全A10通信和运作管理A11访问控制A12信息系统的获取开发以及维护A13信息安全事件管理A14业务连续性管理A15符合性ISO27001:2013A5安全方针A6信息安全组织A7人力资源安全A8资产管理A9访问控制A10密码学A11物理环境安全A12操作安全A13通信安全A14信息系统的获取、开发和维护A15供应商关系A16信息安全事件管理A17信息安全方面的业务连续性管理A18符合性18新版本附录A解析A6A6信息安全组织7来源A6.1内部组织目标：建立一个管理框架，以启动和控制组织内信息安全的实施和运行。A6.1.1信息安全的角色和职责所有信息安全职责应被定义及分配。A6.1.3A8.1.1A6.1.2责任分割冲突的职责和权限应被分开，以减少对组织资产未经授权或无意的修改与误用。A10.1.3A6.1.3与监管机构的联系应与监管机构保持适当的联系。A6.1.6A6.1.4与特殊利益团体的联系与特定礼仪团队、其他专业安全论坛或行业协会应保持适当联系。A6.1.7A6.1.5项目管理中的信息安全信息安全应融入所受项目管理中，不论项目类型。新增A6.2移动设备和远程办公目标：确保远程办公和使用移动设备的安全性。A6.2.1移动设备策略应使用配套策略和安全措施来防范因使用移动设备带来的风险。A11.7.1A6.2.2远程办公应使用配套策略和安全措施来保护在远程对信息的访问、处理和存储。A11.7.219新版本附录A解析A7ISO27001：2005A5安全方针A6信息安全组织A7资产管理A8人力资源安全A9物理和环境安全A10通信和运作管理A11访问控制A12信息系统的获取开发以及维护A13信息安全事件管理A14业务连续性管理A15符合性ISO27001:2013A5安全方针A6信息安全组织A7人力资源安全A8资产管理A9访问控制A10密码学A11物理环境安全A12操作安全A13通信安全A14信息系统的获取、开发和维护A15供应商关系A16信息安全事件管理A17信息安全方面的业务连续性管理A18符合性20新版本附录A解析A7A7人力资源安全6来源A7.1任用之前目标：确保雇佣和承包方人员理解其职责、考虑对其承担的角色是适合的。A7.1.1审查对所有任用的候选者的背景验证核查应按照相关法律、法规、道德规范和对应的业务需求、被访问信息的类别和察觉的风险来执行。A8.1.2A7.1.2任用的条款及条件员工和承包方人员应同意并签署任用合同中关于表明他们和组织的信息安全职责的条款和条件。A8.1.3A7.2任用中目标：确保员工和承包方人员用户知悉并履行信息安全职责。A7.2.1管理职责管理者应该要求员工和承包方人员按照组织已建立的方针策略和规程对安全尽心尽力。A8.2.1A7.2.2信息安全意识、教育和培训组织的所有员工，适当时，包括承包方人员应受到与其工作职能相关的适当的意识培训和组织方针策略及程序的定期更新培训。A8.2.2A7.2.3纪律处理过程对于安全违规的雇员，应有一个正式与可沟通的纪律处理过程。A8.2.3A7.3任用的终止或变化目标：保证组织利益是雇佣终止和变更的一部分。A7.3.1任用终止或变化的责任应该界定任用终止或变更后依然有信息安全责任和义务的员工或承包方人员，并进行沟通和执行。A8.3.121新版本附录A解析A8ISO27001：2005A5安全方针A6信息安全组织A7资产管理A8人力资源安全A9物理和环境安全A10通信和运作管理A11访问控制A12信息系统的获取开发以及维护A13信息安全事件管理A14业务连续性管理A15符合性ISO27001:2013A5安全方针A6信息安全组织A7人力资源安全A8资产管理A9访问控制A10密码学A11物理环境安全A12操作安全A13通信安全A14信息系统的获取、开发和维护A15供应商关系A16信息安全事件管理A17信息安全方面的业务连续性管理A18符合性22新版本附录A解析A8A8资产管理10来源A8.1对资产负责目标：实现和保持对组织资产的适当保护A8.1.1资产清单应识别与信息和信息处理设施相关的资产，并编制和维护资产清单。A7.1.1A8.1.2资产责任人应为资产清单内的资产指定责任人。A7.1.2A8.1.3资产的合理使用与信息处理设施有关的信息和资产合理使用规则应被确定、形成文件并加以实施。A7.1.3A8.1.4资产的归还所有员工、外部方用户在合同终止或协议终止后应归还组织的资产。A8.3.2A8.2信息分类目标：确保信息得到与其重要性程度相适应的保护。A8.2.1信息的分类信息应依照法律要求、对组织的价值，关键性和敏感性进行分类。A7.2.1A8.2.2信息的标记应按照组织所采纳的分类机制建立和实施一组合适的信息标记和处理程序。A7.2.2A8.2.3资产的处理应按照组织所采纳的信息分类机制，建立和实施一组合适的处理规程。A7.2.2A8.3介质处理目标：为了防止存储在介质上的信息被未经授权的披露，修改，删除或破坏。A8.3.1可移动介质的管理根据组织采用的分类机制来执行可移动介质管理流程。A10.7.1A8.3.2介质的处置不再需要的介质，应使用正式的规程可靠并安全地处置。A10.7.2A8.3.3运输中的物理介质包含信息的介质在传输过程中，应加以保护，防止未经授权的访问，滥用或损坏。A10.8.323新版本附录A解析A9ISO27001：2005A5安全方针A6信息安全组织A7资产管