ISO27001认证|ISO27001体系认证|ISO27001:2013

   
　　信息安全管理体系ISO27001:2013版目前ISO组织公布的正式版本的颁布时间为2013年10月19日，在新版公布后的18至24个月内是转换缓冲期，即原有已取得证书的企业最迟需要在2015年10月19日前转换到新版标准。

　　此次改版与旧版相比主要有三大差异：
　　一、管理体系更容易整合;
　　二、融入企业面临的新挑战;
　　三、更多指引延伸参考。
说明如下：
　　 (1)　易整合：以前各管理系统对管理制度面的要求有不太一致的描述方式，且章节不一。例如管理制度的PDCA(Plan，Do，Check，Act)、政策与高级支持等管理制度面要求不同。在新版当中采取Annex SL做结构性要求，让不同管理系统易于接轨、整合。Annex SL的高级结构是ISO组织未来所有管理制度制定时的重要依据，目前已经有ISO22301(前BS 25999营运持续管理系统)和这次的ISO27001新版都已采此结构进行调整。预计已颁布的标准如ISO9000/ISO20000未来的改版也将以相同的思路进行调整。

　　(2)　新要求：ISO27001:2005原本有11个领域(domain)、133项控制措施，新版DIS目前调整为14个领域(A.5-A.18)、113个控制措施(未来仍可能有改动)。新增的领域是将原分散在各领域中的部分控制目标级别提升，组成新领域，如加密与供应链管理因其重要性而被独立出来成为新领域;或是将原有领域分拆，如将通讯与作业管理分开成两个独立的领域，以反映目前信息安全的发展趋势。而控制措施的减少则是通过合并重复的项目来进行，像变更管理在不同的领域中有重复就予以合并。也有新增的控制项目比如对智能型装置的管理、强化ICT供应链的委外管理、以及系统开发项目管理的信息安全要求等。

　　(3)　更多参考：此次ISO也新增许多指引供企业参考，组织可以通过不同的面以及风险进行深度的强化，通过ISO27001验证只是基本要求。目前ISO27000系列指引编号已超过44号(001-044)，例如金融服务、数字鉴识、供应链管理(4本)、软件开发测试等，主管机关可参考这些指引做升级的要求。

　　对于正在准备ISO27001认证的企业，建议无须等待新版，按照原订进度先取得ISO27001:2005验证，在缓冲期结束前转到新版即可，新版会向下兼容接轨。