ISO认证咨询
  • OHSAS18001职业健康安全管理体系
  • GB/T50430工程建设施工企业质量管理规范
  • ISO17025实验室认可
  • CMA计量认证咨询
  • TS16949汽车质量管理体系
  • AS9100航天航空质量管理体系
  • IRIS国际铁路行业标准
  • ISO22000食品安全管理体系
  • QC080000有害物质管理体系
  • ISO13485医疗器械管理体系
  • ISO27001信息安全管理体系
  • GJB国家军用标准
  • SA8000社会责任标准
  • ISO14064温室气体核证标准
  • ISO20000 IT服务管理体系
  • ISO28001供应链安全管理体系
  • TL9000电信质量管理体系
  • 能源管理体系
  • 森林认证咨询
  • ISO9001质量管理体系
  • ISO14001环境管理体系
  • ISO10012测量管理体系

    • ISO认证咨询
    您当前的位置:首页 > ISO认证咨询
    关于信息安全管理体系的英国标准


    关于信息安全管理体系的英国标准
      业界广泛采用的关于信息安全管理体系的英国标准——bs 7799-2:2002,经修订后,于2005年10月15日作为国际标准iso/iec 27001:2005发布。

      本文旨在向组织指出标准的变化及在实际应用中的意义,协助组织做好向新标准过渡的准备。

      新标准的正式标题是::《bs 7799-2:2005 (iso/iec 27001:2005)信息技术-安全技术-信息安全管理体系-要求》这意味着它不仅仅是it标准,标题中的“信息技术-安全技术”表明它还是以iso委员会(jtc1/sc27)的名义发表的。该标准的焦点还是放在贯穿组织的信息安全管理上。尽管大部分控制在实际中会在it部门或it组织内部实现,但总体上标准执行的重点仍应放在业务信息的风险上。

      标准的主要改变在于它现在是国际公认的,这意味着除了英国标准的国际认可,组织可以构建一个全球性的框架来管理他们的信息安全。不管是为了组织自身的商业信息,如财政信息,知识产权,职员资料等等,或者是客户或第三方与组织间沟通的信息,标准都是适用的。实际上,它是组织能够对他们的信息安全管理系统进行客观独立评估的唯一国际标准。

      新版的国际标准已经有一系列更新来阐明巩固原始英国标准——bs 7799-2:2002的要求。这些更新主要集中在以下范围:风险评估、合同责任、范围、管理决策以及所选控制措施有效性的测量等。对于采用bs7799-2:2002的组织来说,新版的国际标准并没有太大的影响。最大的影响就是要求对所选的控制措施或控制措施组合的有效性进行测量。(详见iso/iec 27001:2005的4.2.2 d)

      下面是该标准重大改变的解释概要。附录a是一个显示bs 7799-2:2002和 iso/iec 27001:2005之间的变化的表格。《iso/iec 27001:2005》。

      范围和界线

      在执行信息安全管理体系的时候,组织所要做的第一件事就是定义isms的范围。现在国际标准要求组织定义isms的范围和界线[4.2.1 a],包括被排除在范围外的详细说明及理由。尽管富有经验的bsi审核员在评估过程中也会寻找这些东西,但是现在把这个要求加到标准中了,如果组织打算超越根据2002版标准取得的认证而达到新标准的要求,就必须把这个要求考虑在内。

      评估风险

      该国际标准的基础是:信息的保护是基于业务信息的风险,该风险能促使组织运用合适的措施来保护业务的安全。很少有业务信息会暴露在多种风险之下,因此太多的安全措施可能使公司花费过多的成本。

      标准的一个重大改变是组织现在需要详细说明(并文件化)风险评估的步骤[4.2.1 c],这也意味着挑选并文件化风险评估方法将会使风险评估“产生可比较、可重复的结果” [4.2.1 c 和 4.3.1 d]。目前已通过bs 7799-2:2002认证的组织不会把这点看成一个比较大的变化,因为在评估过程中已经考虑过它了。打算通过bs 7799-2:2002认证的组织可能会把它看成该国际标准的新要求。

      风险评估按照计划的时间间隔[4.2.3 d]进行复查,对风险评估和风险处理计划[7.3 b]的更新进行复查管理已经是标准的要求。这个要求必须作为组织信息安全管理体系的管理复查的一部分[7.1],至少一年完成一次。

      在对bs 7799-2:2002版标准进行审核的过程中,审核员应该根据isms的方针和目标[4.3.1],寻找所选择的控制措施与风险评估结果和风险处理程序之间的关系。尽管bs 7799-2:2002标准提到过这点,但现在已经在国际标准中阐明了。想获得bs 7799-2:2002认证的组织可以把它看作国际标准的新要求。

      合同责任

      除了法律法规的要求,该国际标准还特别强调在所有isms所有过程中的合同责任,包括风险评估、风险处理、控制选择、记录控制、资源、isms的监视和复查、以及文件要求。

      通过bs 7799-2认证的组织现在需要做什么?

      需要特别注意的是:新的国际标准是双重的,既可以是iso/iec 27001:2005,又可以是 bs 7799-2:2005。这种情况会持续一段时间(预期2年左右),这就意味着bs 7799-2:2005认证和iso/iec 27001:2005认证没有什么不同。然而,目前所有通过现行的bs 7799-2:2002认证的组织必须考虑2005版本的变化,及时更新他们信息安全管理体系。

      通过bs 7799-2:2002认证的组织会逐步转换到iso/iec 27001认证。转换期限多久现在还不得而知,要等待国际认可论坛(iaf),或国家认可机构(如ukas)发表正式声明来公布。实际上,在以后的监督审核中,会把这些不同点考虑在内;如果合适的话,建议客户取得iso/iec 27001:2005标准的认证。

      如果在转换期内客户不及时转换到新标准,一直停留在旧标准,审核员可以把与iso的不一致作为“注释/观察项”记录在案。一旦转换期结束,观察项就上升为不符合项,证书的注册就存在了风险。

      新标准发布后,就可以依据iso/iec 27001:2005进行认证了。

     

     
    版权所有: 艾迪商务 鲁ICP备06030433号 全国统一400免费客户热线:4006-581-606
    电话:0539-8110060 5632160 5632168 5632169 传真:0539-7160620 手机:13853996252
    地址:中国临沂市兰山区通达路1号中元国际13楼(通达路与聚才路交汇处路东) 邮箱:tongweixu@126.com

    鲁公网安备 37130202371667号
    友情链接:网站建设 农产品 外资注册 注册常见问题 验厂培训 农产品 ISO认证 版权申请 公司管理 许可证申请 实验室检测 商标注册 QS认证 外资公司注册 商标申请 体系认证 农产品 商标转让 产品检测仪器 艾迪商务 公司注册 企业培训 农产品 农产品 临沂土特产 原生态农产品 农产品种植