自2005年國際標準化組織(簡稱:ISO)將BS 7799轉化為ISO 27001:2005發布以來,此標準在國際上獲得了空前的認可,相當數量的組織采納并進行了信息安全管理體系的認證, 至2011年底,國際上頒發的ISO 27001認證證書總數約為15625張(其中,BSI的市場占有率達約為45.65%)。在我國,自從2008年將ISO 27001:2005轉化為國家標準GB/T 22080:2008以來,信息安全管理體系認證在國內進一步獲得了全面推廣,至2011年底,國內頒發認證證書數量是1107張。越來越多的行業和組織認識到信息安全的重要性,并把它作為基礎管理工作之一開展起來。
然而過去的幾年中,IT領域和通信行業發生了非常大的變革,出現了全面的業務和技術的融合。移動互聯網蓬勃興起、智能手機的廣泛采用、云計算技術的風起云涌,帶來了全新的網絡威脅、數據泄漏和欺詐的風險。面對這樣的變化和趨勢,使得信息安全管理體系標準的更新也變得日益重要。
ISO對標準的更新,一般是以三年為一個周期,但因為ISO 27001::2005標準發布后的巨大成功,以及ICT行業的飛躍發展,使得這個標準的更新變得非常謹慎,至今已有7年。從ISO組織發布的最新信息可以看到,ISO 27001標準的更新籌備實際上已經在2008年開始,任命了工作組(JTC 1/SC 27 WG 1);2009年正式啟動更新。目前,處于該標準草案(Committee Draft)正在編寫委員會討論層面(30.20:2012-06-20),預計新版發布時間會在 2013-10-19,那時我們就可以一睹它的全新面貌了。
從ISO 27001標準新版更新的一些說明材料中,可以看出這次ISO 27001標準改版將會具有以下幾個特征:
采用ISO導則83ISO導則83,規范了今后ISO管理體系認證標準的基本框架;采用導則83頒布的第一個標準是今年5月發布的業務連續管理體系標準——ISO 22301:2012。
導則83對今后的標準提出了新的框架要求,如下圖示,標注了ISO27001新版與2005版結構的對比和差異:
標準第4-7章,說明管理體系的一般要求,包括: 組織的情境、領導力、策劃和支持;標準第8章,描述ISMS實施要求,包括信息安全風險評估和處置;標準第9章,描述監視,測量和評審活動的要求;標準第10章,描述改善活動的要求;其中,取消了預防措施。信息安全風險管理與ISO 31000風險管理保持一致新版的ISO 27001標準中信息安全風險管理要求與ISO 31000:2009 (Risk management——Principles and guidelines) 保持一致,并遵從其中的定義。
在新版標準中明確了以下要求:
信息安全風險評估:組織應確定如何確定其信息安全風險評估和處置過程的可靠性。 信息安全風險處理:適用時,組織應調整信息安全風險評估和處置過程,以及采用的方法,以改善過程的可靠性。保留附錄A控制措施與控制目標新版ISO 27001依然會保留SOA和附錄A控制目標、控制措施的架構;因此,毫無疑問,ISO 27001的新版修訂一定會與ISO 27002的修訂同步進行。
事實上,關于控制措施和控制目標的修訂,也是應對新的變化的信息安全威脅和風險必須的選擇;這部分的更新,在修訂項目中,接受了大量的修改建議,爭論也相當大,目前還沒有最后的結論。
古希臘哲學家赫拉克利特因其作為辯證法的奠基人聞名于世,他曾經寫道“一切皆流,無物常住”,過去幾年中,國際上幾乎所有行業和組織面臨的信息安全風險的局勢無不體現了赫氏的這一學說。變化和發展是永恒的,信息安全風險總是處在持續演進中,攻擊者的手段依然會層出不窮。因此信息安全管理的實踐和標準都在不斷發展,我們唯一要做的就是保持警惕,隨時準備抵御風險。
