2013版ISO27001(信息安全管理使用规则)于2013年10月1日正式发布,新版标准反映了与业务的融合、与全面风险管理的融合、与治理的融合,体现在新标准中对绩效的重视、对风险评估方法论的修改。这与IT治理的目标也高度一致。
新标准更关注业务
IT治理的驱动力意在从董事会等治理层面确立IT的价值和投资的决策机制,确保IT战略与业务战略的一致性,革新性地驱动业务的发展。信息安全管理新标准从风险与成本的平衡过渡,到要定期报告信息安全管理绩效,反映了信息安全管理标准的发展进入成熟期,也反映了治理层面更加重视对信息安全投入的预期监控,同时对风险管理的度量也是相关方、管理层共同关心的话题。
信息安全的目标是与业务的发展目标高度一致的,因此新标准要求信息安全风险管理要聚焦信息,而信息是融合在整个业务流程中的。新的标准摒弃了原来识别资产、资产威胁与脆弱性的方法论,肯定了管理层面以业务价值为基础,识别信息、确定信息的价值,也更方便与其他以业务流程为基础的ISO管理标准相融合。
由于更加关注业务,新标准要求对业务、对组织目标的理解,从内外部环境包括宏观政策、技术发展、行业动向、微观的组织环境来分析,此外还要考虑环境因素对业务的影响和对信息安全的要求。
信息安全风险在新标准里变得更加生动、中性。新标准要求定义风险责任人,这个责任人更可能是业务的负责人或某项具体活动的负责人,而不仅仅是IT人员。对信息安全风险的偏好与态度完全与组织的全面风险管理框架相融合。
IT技术对新标准的影响
云技术的广泛应用、外包业务的兴起,让供应链的安全风险管理从组织的战略层面到日常运作层面都要进行识别、利用、控制。新标准新增供应链关系管理,关注供应链关系中的信息安全和服务商交付过程的信息安全。
同时,大数据的兴起使得数据泄露的风险加大,标准将加密控制从一个控制目标项上升为一个控制域;此外,移动互联影响着人们的生活和办公,新标准也新增了移动设备使用的安全策略。
在组织层面,除了日常运作,管理者还需特别考虑项目的信息安全管理,这也是新增控制项。同时,完善了系统开发的全生命周期信息安全管理,包括需求分析、开发环境、测试数据保护、测试验收、变更管理、开发外包管理等控制项。
新技术和风险点的出现,使得风险处理采取的控制措施不再拘泥于附录A。附录A仅作为基本必须的选项(见标准条款6.1.3c)。
从结构来说,新版标准与其他ISO系列标准的框架完全一致,遵从“ISO导则83”,这是ISO管理体系认证标准的基本框架,方便与ISO其他管理体系的整合。
作者简介
潘蓉,毕业于清华大学计算机系,曾在英国标准协会带领团队,为世界500强企业及国内金融机构提供信息安全、IT运维、业务连续性、风险管理、质量内控的培训和认证服务。目前作为国家IT治理标准的核心成员,致力于IT与业务的融合,推动IT治理,推广金融创新IT架构,使得更多的组织得益于IT创新推动力,并有效应对风险。还曾担任境外上市公司信息安全主管、ITSS IT治理标准组核心成员、清华大学建设管理系工程担保与建筑市场治理研究中心兼职研究人员、上海市软件行业协会软件服务专委会副主任、英国标准协会兼职主任审核员等职务。
资深IT管理专家、ITSS国家标准组成员 潘蓉
关注读览天下微信,
100万篇深度好文,
等你来看……
