實作上的差異其實在google上大多數看到的差異說明其實都查得到,但僅在於說明
條款數量減少 (例如:原先附錄控制項133個,後來到了2013版剩114個)
或是本文章節的異動從原本的 章節4~章節8 (2005版),變成 (章節4~章節10)。
再深入一點某些驗証公司的網頁會作關聯圖,告訴您哪些條款如何進行ISO 27001:2013轉版對應,有點類似條款連連看,但容易看得眼花瞭亂就是了,此處就不再跟您說明與實作較無關聯的一些歷史介紹。
實作上的差異,以去年(2014年)實際進行ISO 27001:2013顧問輔導數個上市公司、公開發行公司之客戶管理制度經驗來說,
新版轉版差異有幾個實作上需特別注意的地方:
- 1、資安實施範圍的選定須考量內、外部議題 ,於稽核時會特別關注公司在這一個面向是否進行討論,通常展現在風險評估階段、或是內部會議、或是管理審查會議。
- 2、推動資訊安全成員的資格能力,其實過往就有要求這個項目,只是現在必須明確規範出來,也就是所謂的Documented Information
- 3、風險評鑑的調整,因為ISO 27001:2013標準要求參考ISO 31000企業風險管理來進行,所以舊版對於資產的威脅、脆弱那些項目都須要進行「整合對應」或是直接「刪除」比較爽快,當然這邊就會影響風險評鑑的程序書嘍~~~~那原先的風險評鑑表也當然要跟著進行異動與調整。因為除了ISO 31000識別風險須考量內外部議題、利害相關者要求來進行識別,分析可能性(likelyhood)、與衝擊(Impact)同時還要思考對於資訊的機密、完整、可用性的衝擊為何,這一部份的調整較大。
- 4、適用性聲明、稽核查檢表整個也要重新調整。(須包含4~10,A.5~A.18),也容易讓人打字打到手軟。
- 5、管理階層審查的內容須著重於新版要求的內外議題、利害相關者的回饋,而不須再去討論資產的 威脅脆弱。(異動不大)
- 6、資安目標的設定面向應考慮到資安管理制度實施範圍流程的機密、完整、可用、或是法規遵循性、或是與資安政策的方向是否一致等。
- 7、績效管理提到要監督與評估,則可依據公司的核心流程、高風險險項目、或是資安目標、或是高風險事件/事故……等相關之處進行評量。
- 8、矯正措施的追蹤差異不大。
- 9、與附錄控制項A.5~A.18有關的管控措施實作由於要依據「驗証範圍」或「實施範圍」來擬定,這一部份不見得要照單全收,所以新增的部份僅列舉部份說明: 行動裝置的管理、專案管理、資安事件評鑑、系統工程原則、安全測試環境、秘密鑑別資訊、對於供應商的要求………等等。 (被整併的項目不特別列出,網路管理的控制居多)