2013版ISO27001（信息安全管理使用規(guī)則）于2013年10月1日正式發(fā)布，新版標準反映了與業(yè)務(wù)的融合、與全面風險管理的融合、與治理的融合，體現(xiàn)在新標準中對績效的重視、對風險評估方法論的修改。這與IT治理的目標也高度一致。

新標準更關(guān)注業(yè)務(wù)

IT治理的驅(qū)動力意在從董事會等治理層面確立IT的價值和投資的決策機制，確保IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略的一致性，革新性地驅(qū)動業(yè)務(wù)的發(fā)展。信息安全管理新標準從風險與成本的平衡過渡，到要定期報告信息安全管理績效，反映了信息安全管理標準的發(fā)展進入成熟期，也反映了治理層面更加重視對信息安全投入的預(yù)期監(jiān)控，同時對風險管理的度量也是相關(guān)方、管理層共同關(guān)心的話題。

信息安全的目標是與業(yè)務(wù)的發(fā)展目標高度一致的，因此新標準要求信息安全風險管理要聚焦信息，而信息是融合在整個業(yè)務(wù)流程中的。新的標準摒棄了原來識別資產(chǎn)、資產(chǎn)威脅與脆弱性的方法論，肯定了管理層面以業(yè)務(wù)價值為基礎(chǔ)，識別信息、確定信息的價值，也更方便與其他以業(yè)務(wù)流程為基礎(chǔ)的ISO管理標準相融合。

由于更加關(guān)注業(yè)務(wù)，新標準要求對業(yè)務(wù)、對組織目標的理解，從內(nèi)外部環(huán)境包括宏觀政策、技術(shù)發(fā)展、行業(yè)動向、微觀的組織環(huán)境來分析，此外還要考慮環(huán)境因素對業(yè)務(wù)的影響和對信息安全的要求。

信息安全風險在新標準里變得更加生動、中性。新標準要求定義風險責任人，這個責任人更可能是業(yè)務(wù)的負責人或某項具體活動的負責人，而不僅僅是IT人員。對信息安全風險的偏好與態(tài)度完全與組織的全面風險管理框架相融合。

IT技術(shù)對新標準的影響

云技術(shù)的廣泛應(yīng)用、外包業(yè)務(wù)的興起，讓供應(yīng)鏈的安全風險管理從組織的戰(zhàn)略層面到日常運作層面都要進行識別、利用、控制。新標準新增供應(yīng)鏈關(guān)系管理，關(guān)注供應(yīng)鏈關(guān)系中的信息安全和服務(wù)商交付過程的信息安全。

同時，大數(shù)據(jù)的興起使得數(shù)據(jù)泄露的風險加大，標準將加密控制從一個控制目標項上升為一個控制域；此外，移動互聯(lián)影響著人們的生活和辦公，新標準也新增了移動設(shè)備使用的安全策略。

在組織層面，除了日常運作，管理者還需特別考慮項目的信息安全管理，這也是新增控制項。同時，完善了系統(tǒng)開發(fā)的全生命周期信息安全管理，包括需求分析、開發(fā)環(huán)境、測試數(shù)據(jù)保護、測試驗收、變更管理、開發(fā)外包管理等控制項。

新技術(shù)和風險點的出現(xiàn)，使得風險處理采取的控制措施不再拘泥于附錄A。附錄A僅作為基本必須的選項（見標準條款 6.1.3c）。

從結(jié)構(gòu)來說，新版標準與其他ISO系列標準的框架完全一致，遵從“ISO導(dǎo)則83”，這是ISO管理體系認證標準的基本框架，方便與ISO其他管理體系的整合。

作者簡介

潘蓉，畢業(yè)于清華大學計算機系，曾在英國標準協(xié)會帶領(lǐng)團隊，為世界500強企業(yè)及國內(nèi)金融機構(gòu)提供信息安全、IT運維、業(yè)務(wù)連續(xù)性、風險管理、質(zhì)量內(nèi)控的培訓和認證服務(wù)。目前作為國家IT治理標準的核心成員，致力于IT與業(yè)務(wù)的融合，推動IT治理，推廣金融創(chuàng)新IT架構(gòu)，使得更多的組織得益于IT創(chuàng)新推動力，并有效應(yīng)對風險。還曾擔任境外上市公司信息安全主管、ITSS IT治理標準組核心成員、清華大學建設(shè)管理系工程擔保與建筑市場治理研究中心兼職研究人員、上海市軟件行業(yè)協(xié)會軟件服務(wù)專委會副主任、英國標準協(xié)會兼職主任審核員等職務(wù)。