ISO 27001:2013 en ISO 27001:2017 wat is die verskil?
INHOUDSOPGAWE:
Die verskil in ISO 27001 weergawes
IIn praktiese terme het baie min tussen die 2013 en 2017 verander ISO 27001 standaarde behalwe vir 'n paar klein kosmetiese punte en 'n klein naamsverandering.
Die jongste gepubliseerde weergawe van die ISMS-standaard is – BS EN ISO/IEC 27001: 2017.
Die ISO weergawe van die standaard (2013) is nie deur die 2017-publikasie en die veranderinge geraak nie nie stel enige nuwe vereistes in.
Vir diegene wat 'n UKAS geakkrediteer ISO 27001 sertifisering, UKAS akkrediteer die ISO-standaard, so daar is geen wysigings wat jou sertifiseringstatus beïnvloed nie en daarom word geen bykomende oorgangsaktiwiteite deur hierdie hersiening ingestel nie.
Die 2017-verandering is ingestel om goedkeuring deur CEN/CENELEC vir die EN-benaming (“Europese Standaard”) aan te dui.
Die opgedateerde BS inkorporeer egter twee voorheen uitgereikte Corrigenda/Wysigings aan ISO 27001:2013, spesifiek in Klousule 6.1.3 en Bylae A klousule 8.1.
Kom ons kyk na wat die Corrigenda gedek het:
Regstelling 1: ISO/IEC 27001:2013/Cor.1:2014(af) – gepubliseer 2014
A.8.1.1 (Inventaris van Bates), vervang die kontrole se objektiewe teks uit:
“Bates wat met inligting- en inligtingverwerkingsfasiliteite geassosieer word, sal geïdentifiseer word en ’n inventaris van hierdie bates sal opgestel en in stand gehou word.”
aan:
“Inligting, ander bates wat verband hou met inligting en inligtingverwerkingsfasiliteite sal geïdentifiseer word en ’n inventaris van hierdie bates sal opgestel en in stand gehou word.”
Die verandering het dit uitdruklik gemaak inligting self moet ook as 'n bate beskou word en by die voorraad ingesluit word.
Vir diegene wat gebruik ISMS.aanlyn, die riglyne verskaf in Subklousule A.8.1.1, saam met ons ISO 27001 virtuele afrigter, neem dit ten volle in ag.
Anders as sommige van die ouer gereedskap op die mark, ISMS.aanlyn gebruik 'n inligtingsbate-gebaseerde benadering tot risikobestuur sodat jy seker kan wees dat hierdie belangrike wysiging aangespreek is.
Lees meer oor Hoe om 'n bate-inventaris te ontwikkel.
Klik om 'n groter beeld te sien van hoe ons die ISMS.online platform vir ISO 27001 gebruik
Regstelling 2: ISO/IEC 27001:2013/Cor.2:2015(af) – gepubliseer 1/12/2015
Dit het veranderinge aan subklousule behels. 6.1.3 (Inligtingsekerheidsrisikobehandeling), en spesifiek by item d), oor die Verklaring van Toepaslikheid (SvA). Dit was net 'n kosmetiese aanpassing, wat die vereiste inhoud vir 'n SOA van die hoofparagraaf in geskeide kolpunte geskei het, wat dit duideliker maak dat 'n SOA ten minste vier elemente moet bevat:
-
Die nodige kontroles om die inligting sekuriteit risiko behandeling, met inagneming van nie net dié in Bylae A nie, maar ook kontroles wat deur die organisasie ontwerp is soos vereis, sowel as ander wat uit enige bron geïdentifiseer is (bv. kontroles van NIST SP 800-reeks dokumente)
-
Regverdiging vir die insluiting van hierdie kontroles
-
Die kontroles status (bv. geïmplementeer of nie)
-
Die regverdiging vir die uitsluiting van enige van die Bylae A kontroles
Die ISO 27001-verklaring van toepaslikheid word dikwels beskou as een van die meer moeilike take in die Standaard, beide om te skep en op datum te hou. U kan ons artikel lees, Vereenvoudigde verklaring van toepaslikheid om meer te leer.
Klik om 'n groter beeld te sien van hoe ons ons onderhou Verklaring van toepaslikheid in die ISMS.aanlyn-platform
Hoe om die veranderinge aan te pak
/sagteware-kenmerke/Met ISMS.aanlyn, is die Corrigendum-items geïnkorporeer, beide in terme van die leiding en gereedskap wat jy sal gebruik om jou ISO 27001-implementering vinnig te volg en verminder die deurlopende bestuurstyd van jou ISMS.
