最新的 ISO/IEC 27001 标准有哪些变化和优势?
由于现代企业和商业活动中的许多工作都是以数字方式进行的,因此信息、数据和网络安全必须始终成为管理层关注的重点。最近几个月,能源成本和安全问题可能使网络威胁和攻击问题不再是头条新闻,但网络威胁肯定没有减少,甚至可能有增无减。
因此,10 月 25 日发布的最新版 ISO/IEC 27001 提醒我们,所有公司都面临着越来越多的信息安全风险。ISO/IEC 27001 是国际公认的信息安全管理体系(ISMS)标准,可帮助企业积极主动地管理和保护其信息资产,管理和减少安全事件。该标准还有助于遵守法规和满足客户要求。
安全漏洞和网络攻击可能会造成重大损失和声誉损害。为了避免这种情况,企业必须管理当前的威胁,并在必要时降低风险。这将有助于建立利益相关者的信任,确保将经济损失和中断的风险降至最低。 建立健全的结构化框架来识别、管理和降低风险,将推动持续改进并加强业务连续性。
ISO/IEC 27001 的设计旨在与其他公认的 ISO 管理体系标准兼容和协调。该标准上一次重大修订是在 2013 年。 因此,我们认为有必要更新该标准,包括 ISO/IEC 27002 中定义的信息安全控制措施,以适应在此期间出现的网络攻击和数据安全外泄情况。
获得当前 2013 版 ISO 27001 认证的组织将有三年时间过渡到新版本。这意味着他们当前的 ISMS 必须在 2025 年 11 月前达到新要求。对于尚未获得认证的组织来说,最好的办法是立即按照新标准进行认证。
最新版 ISO/IEC 27001 带来的主要变化...
新版本的结构与早期版本相同,但反映了网络安全和数据安全的概念。简单浏览一下就会发现,这些变化几乎都包含在 ISO/IEC 27002 修订后的控制措施中。ISO/IEC 27001 附件 A 提到了这些内容。附件 A 列出了基于 ISO/IEC 27001 的信息安全管理系统的信息安全控制措施。控制措施的总数已从 114 项修订为 93 项。其中新增了 11 项安全控制措施,更新了 58 项,合并了 24 项,以简化并更好地反映企业面临的新情况。控制措施按 4 个控制 “主题 ”重新组织: 组织、人员、物理和技术。对于用户和实施者,ISO/IEC 27002 还在控制指导部分提供了有用的更新,包括更多示例。
新增的 11 项控制措施是
除控制措施外,还有一些小的改动,以与 ISO 高阶结构(HLS)的最新更新保持一致。受影响的管理体系主要包括领导力、企业安全、IT 功能和其他支持功能。对于服务提供商而言,交付也会受到影响。由于更新了安全控制措施,新版本能够实现更有效的风险管理。
...它的好处是
新版本的主要优点可归纳如下:
- 改进了附件 A 中的安全控制措施,以反映企业当前需要应对的情况,从而实现更有效的风险管理。
- 帮助企业重新评估其风险和威胁,并在互联性、云技术和自动化技术、恶意软件和勒索软件以及其他漏洞不断增加的情况下实施安全控制。
- 扩展到网络安全和隐私,将信息安全管理系统与企业必须应对的这些关键问题更好地联系起来。
- 为附件 A 中的控制措施提供了更好的结构和表述方式,语言也更加简洁明了。
ISO/IEC 27001 管理体系和认证的优势并没有改变;但是,新版本使企业能够更好地理解、管理和减轻业务环境中的新风险和威胁。无论企业是在向新标准过渡还是在努力获得认证,DNV 都能提供所有必要的服务和支持,以确保顺利完成认证。