現(xiàn)版的信息安全管理(lǐ)系統ISO 27001:2005标準已經使用(yòng)了(le)8年，日前ISO組織（國際标準化組織）終于将新版ISO 27001:2013 DIS版（國際标準草案Draft International Standard）草稿向公衆開(kāi)放(fàng)并征求意見，預計(jì)在今年6-7月會(huì)發布DIS最終版。目前ISO組織公布的正式版本的頒布時(shí)間爲2013年10月19日，在新版公布後的18至24個月内是轉換緩沖期，即原有已取得證書的企業最遲需要在2015年10月19日前轉換到(dào)新版标準。

安言咨詢技術總監張威表示，此次改版與舊版相比主要有三大(dà)差異：一、管理(lǐ)體系更容易整合；二、融入企業面臨的新挑戰；三、更多指引延伸參考。說明(míng)如下(xià)：

（1）　易整合：以前各管理(lǐ)系統對(duì)管理(lǐ)制度面的要求有不太一緻的描述方式，且章節不一。例如管理(lǐ)制度的PDCA（Plan，Do，Check，Act）、政策與高(gāo)級支持等管理(lǐ)制度面要求不同。在新版當中采取Annex SL做結構性要求，讓不同管理(lǐ)系統易于接軌、整合。Annex SL的高(gāo)級結構是ISO組織未來(lái)所有管理(lǐ)制度制定時(shí)的重要依據，目前已經有ISO 22301（前BS 25999營運持續管理(lǐ)系統）和(hé)這(zhè)次的ISO 27001新版都已采此結構進行調整。預計(jì)已頒布的标準如ISO9000/ ISO20000未來(lái)的改版也(yě)将以相同的思路進行調整。

（2）　新要求：ISO 27001:2005原本有11個領域（domain）、133項控制措施，新版DIS目前調整爲14個領域（A.5-A.18）、113個控制措施（未來(lái)仍可能(néng)有改動）。新增的領域是将原分散在各領域中的部分控制目标級别提升，組成新領域，如加密與供應鏈管理(lǐ)因其重要性而被獨立出來(lái)成爲新領域；或是将原有領域分拆，如将通訊與作(zuò)業管理(lǐ)分開(kāi)成兩個獨立的領域，以反映目前信息安全的發展趨勢。而控制措施的減少則是通過合并重複的項目來(lái)進行，像變更管理(lǐ)在不同的領域中有重複就予以合并。也(yě)有新增的控制項目比如對(duì)智能(néng)型裝置的管理(lǐ)、強化ICT供應鏈的委外(wài)管理(lǐ)、以及系統開(kāi)發項目管理(lǐ)的信息安全要求等。

（3）　更多參考：此次ISO也(yě)新增許多指引供企業參考，組織可以通過不同的面以及風(fēng)險進行深度的強化，通過ISO 27001驗證隻是基本要求。目前ISO 27000系列指引編号已超過44号（001-044），例如金(jīn)融服務、數字鑒識、供應鏈管理(lǐ)（4本）、軟件開(kāi)發測試等，主管機關可參考這(zhè)些(xiē)指引做升級的要求。

對(duì)于目前正在準備ISO 27001的企業，建議(yì)無須等待新版，按照原訂進度先取得27001:2005驗證，在緩沖期結束前轉到(dào)新版即可，新版會(huì)向下(xià)兼容接軌。