聯絡我們 回首頁 網站地圖
 
ISO27001:2013和ISO27001:2005的主要差異
 
撰稿/ISO專業顧問,圖/網路轉載
 

資訊安全國際標準ISO 27001自2005年發布至今已長達8年之久,國際標準組織於2013年公布新版本, 改版後的資安認證標準為ISO 27001:2013,這也是ISO 27001成為國際標準之後的首次改版。

資訊安全國際標準ISO27001有什麼主要的改變呢?

2005年版本和2013年版本的主要差異,如下:
(1)、引用ISO?31000風險管理要求,允許企業針對不同的管理系統沿用相同的風險管理方法論。
(2)、此次的改版讓ISO27001與其他管理系統更容易整合,並符合Annex SL要求、制訂ISMS管理制
  度面的要求。
(3)、刪除2005年版中的用語釋義,直接引用ISO 27001的術語,促進整個ISO 27001系列標準術語與
  定義的一致性。
(4)、企業管理階層的支持及承諾要求更明確,以有效的展現領導力及承諾。
(5)、刪除重複的要求以及短語的方式陳述要求,避免可能造成抵觸,並允許企業有更大的自由選擇
  實施要求。
(6)、適用性聲明書要求雖然雷同,但藉由風險處理過程可決定更明確要求控制措施的選擇。
(7)、強調績效展現,更加強調設定目標,監控績效及訂定量測指標。

27001:2013新版本為了更符合資訊安全的現況及需求, 由原先ISO 27001:2005的A.5至A.15(11個領域,39項目標及133項控制措施) 變成A.5至A.18(14個領域,35項目標,114項控制措施)控制目標減少了4項, 控制措施由原本的133個變成114個。
領域變多了、控制目標及控制措施都減少了, 2013年版本新增了兩個領域分別是A.10密碼(Cryptography) 領域與A.15供應商關係(Supplier Relationships)領域, 並將原本A.10通訊與作業管理(Communications and operations management) 領域分成A.12作業安全(Operations Security) 與A.13通訊安全(Communications Security)兩個領域。

 
 
本公司另有中高階主管、基層主管與員工的內訓課程規劃,如有需求或課程方面的問題。
請洽競爭力企管顧問:
台北:(02)2243-1201 台中:(04)2473-9012 高雄:(07)380-3113