毋庸置疑，你的ISO27001LA需要升級了

上信培

毋庸置疑，你的ISO27001LA需要升級了
很多參加過ISO27001LA：2005的的學(xué)員問到，聽說ISO27001LA改版升級了，原來的證書還有用嗎，需要升級嗎，還有學(xué)員問到升級前后有哪些點變化了，我只要了解補(bǔ)充更新的點，應(yīng)該就可以了吧。本文針對上述學(xué)員關(guān)心的疑問，我要大聲說，你的ISO27001LA:2005版需要升級了��！
首先我們來了解ISO27001LA的改版情況
1、改版背景
現(xiàn)版的信息安全管理體系ISO27001:2005標(biāo)準(zhǔn)已經(jīng)使用了8年，日前ISO組織（國際標(biāo)準(zhǔn)化組織）終于將新版ISO27001:2013DIS版（國際標(biāo)準(zhǔn)草案Draft International Standard）草稿向公眾開放并征求意見，預(yù)計在今年6-7月會發(fā)布DIS最終版。
ISO組織公布的正式版本的頒布時間為2013年10月19日。
2、改版影響
在新版公布后的18至24個月內(nèi)是認(rèn)證轉(zhuǎn)換緩沖期，即原有已取得ISO27001證書的企業(yè)最遲需要在2015年10月19日前轉(zhuǎn)換到新版標(biāo)準(zhǔn)。

3、ISO27001的發(fā)展歷史
1992年在英國首次作為行業(yè)標(biāo)準(zhǔn)發(fā)布，為信息安全管理提供了一個依據(jù)。BS7799標(biāo)準(zhǔn)最早是由英國工貿(mào)部BS7799 、英國標(biāo)準(zhǔn)化協(xié)會BSI）組織的相關(guān)專家共同開發(fā)制定的。
在1998年、1999年經(jīng)過兩次修訂之后出版BS7799-1：1999和BS7799-2：1999。
2000年4月，將BS7799-1：1999提交ISO，同年10月獲得通過成為
ISO/IEC17799：2000版。
2005年對ISO/IEC17799：2000版進(jìn)行了修訂，于6月15日發(fā)布了
ISO/IEC17799：2005版。
2007年上半年正式更名為ISO27002:2007。
2013年與ISO27001:2013版同步更新為ISO27002:2013.
2001年修訂BS7799-2：1999，同年BS7799-2：2000發(fā)布。
2002年對BS7799-2：2000進(jìn)行了修訂發(fā)布了BS7799-2：2002版。
ISO于2005年10月15采用BS7799-2：2002版本成為國際標(biāo)準(zhǔn)-
ISO/IEC27001：2005版。
2013年10月19日修訂原版，正式使用ISO/IEC27001:2013版。

再者聊聊ISO27001LA:2005與ISO27001LA：2013的不同點
        ISO 27001:2013相對于ISO 27001: 2005從結(jié)構(gòu)到細(xì)節(jié)都有很多變化， 兼容性和靈活性都有所增強(qiáng)，比較引人注目的包括如下幾點：
        a.篇章結(jié)構(gòu)： 在篇章結(jié)構(gòu)上與ISO管理體系標(biāo)準(zhǔn)模板Annex SL (previously ISO Guide 83) 保持一致，在風(fēng)險管理原則上與ISO31000風(fēng)險管理標(biāo)準(zhǔn)保持一致。這樣在實踐上與ISO9000, ISO20000，ISO22301等標(biāo)準(zhǔn)體系更容易集成整合。
        0 Introduction
        1 Scope
        2 Normative references
        3 Terms and definitions
        4 Context of the organization
        5 Leadership
        6 Planning
        7 Support
        8 Operation
        9 Performance evaluation
        10 Improvement


        b. 域和控制項：從2005版11個域133個控制項優(yōu)化調(diào)整為14個域114個控制項。使用的控制項根據(jù)風(fēng)險處置流程來確定，不在要求一定從附錄A中選。附錄A羅列的114個控制項的意義在提供cross-check 確保不遺漏必要的控制措施。



c. 風(fēng)險評估和處置方法論：資產(chǎn)、脆弱點和威脅（Assets, vulnerabilities and threats）不再要求為風(fēng)險評估的基礎(chǔ)。無論哪種風(fēng)險識別方法，只要能識別風(fēng)險相關(guān)的 CIA(confidentiality, integrity and availability)。asset owner 被“risk owners” 概念取代，責(zé)任相應(yīng)上移。
        d. 持續(xù)改進(jìn)方法論：可以使用PDCA之外的方法論
那么問題來了，是不是隨著SO27001LA 的不斷升級，公司達(dá)到相應(yīng)的審計標(biāo)準(zhǔn)？
答案是肯定的，沒一次的升級都是伴隨著之前的一些標(biāo)準(zhǔn)條框不再適應(yīng)社會、公司的發(fā)展，一個健康想要成長的公司需要不斷的升級達(dá)到國際最新的管理體系標(biāo)準(zhǔn)。大家也不用太擔(dān)心，從上文可以開出每次的升級也需要很長的提出評審、修改、試用等多個復(fù)雜階段，每一的新的版本時效大約7、8年，下一次ISO27001LA 的更新大約是2020版本了。