ISO27001:2022信息安全管理體系版本的介紹

一、ISO27001發(fā)展背景

隨著《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》等法律法規(guī)的發(fā)布，信息安全的管理已經(jīng)從業(yè)務(wù)需求上升到了合規(guī)需求。隨著信息化建設(shè)工作不斷推進(jìn)，計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模和應(yīng)用范圍逐步擴(kuò)大，信息科技的作用已經(jīng)從業(yè)務(wù)支持逐步走向與業(yè)務(wù)的融合。同時(shí)，信息化在給企事業(yè)單位帶來(lái)發(fā)展和效益的同時(shí)，其所形成的風(fēng)險(xiǎn)與傳統(tǒng)操作風(fēng)險(xiǎn)的內(nèi)涵發(fā)生了根本性變化。許多信息安全的問(wèn)題紛紛出現(xiàn)：商業(yè)秘密的泄露、客戶資料的流失、系統(tǒng)癱瘓、入侵、病毒感染、網(wǎng)絡(luò)釣魚(yú)、網(wǎng)頁(yè)改寫(xiě)等。各行業(yè)重要信息安全事件也屢屢發(fā)生并呈快速上長(zhǎng)趨勢(shì)。

二、信息安全風(fēng)險(xiǎn)評(píng)估

ISO27001:2022信息安全-網(wǎng)絡(luò)安全和隱私保護(hù)-信息安全管理體系-要求,于2022年10月25日正式發(fā)布，新舊標(biāo)準(zhǔn)過(guò)渡期為3年。

信息安全風(fēng)險(xiǎn)評(píng)估是信息安全工程的重要組成部分，是建立信息安全管理體系的基礎(chǔ)和前提。信息安全風(fēng)險(xiǎn)評(píng)估分析用戶信息安全管理體系范圍內(nèi)信息資產(chǎn)的弱點(diǎn)、面臨的威脅以及威脅利用弱點(diǎn)可能造成的影響，了解其風(fēng)險(xiǎn)現(xiàn)狀；明確各類風(fēng)險(xiǎn)的特性與等級(jí)化處理機(jī)制，從而使用戶能夠選擇合適的風(fēng)險(xiǎn)控制措施，更有效地管理信息安全風(fēng)險(xiǎn)。通過(guò)識(shí)別信息安全風(fēng)險(xiǎn)，并進(jìn)行評(píng)估分析，使管理層充分了解信息安全風(fēng)險(xiǎn)現(xiàn)狀，覆蓋人員、管理、技術(shù)等多個(gè)維度，針對(duì)性的制定風(fēng)險(xiǎn)處置計(jì)劃。

三、ISO/IEC 27001認(rèn)證必然前景

根據(jù)企業(yè)的申請(qǐng)，為企業(yè)提供ISO/IEC 27001符合性認(rèn)證。滿足現(xiàn)行標(biāo)準(zhǔn)要求的，為企業(yè)頒發(fā)相關(guān)證書(shū)。

特別的iso9001體系認(rèn)證機(jī)構(gòu)，ISO/IEC 27001引入了可擴(kuò)展的認(rèn)證模式，當(dāng)企業(yè)希望展示自身對(duì)云安全、隱私管理等特定領(lǐng)域的實(shí)力時(shí)，可以額外申請(qǐng)ISO/IEC 27017、ISO/IEC 27018、ISO/IEC 27701認(rèn)證。特別是ISO/IEC 27701認(rèn)證，契合了《個(gè)人信息保護(hù)法》對(duì)于企業(yè)盡責(zé)舉證的要求。