白云广 谢宗晓

（1 神华天津煤炭码头有限责任公司信息中心；2 南开大学 商学院）

ISO/IEC 27001:2013一经发布，意味着已经获取ISO/IEC27001:2005认证的组织需要改版。根据最近一次国际标准化组织（International Organization for Standardization，ISO）的管理体系普查数据1详细数据请参考www.iso.org，ISO不定期组织这种普查数据，所以最新为2012年的数据。显示：截至2012年，中国大陆地区已经有1490家组织获得认证，全世界范围内已经19577家组织获得ISO/IEC 27001:2005认证。因此，会有大量的在运行信息安全管理体系（Information Security Management System，ISMS）受到影响。基于此，本文对ISO/IEC 27001:2013做了基本的介绍，并特别关注了ISO/IEC 27001新旧版本的异同之处。

一、ISO/IEC 27001:2013概述

ISO/IEC 27001:2013《信息安全管理体系 要求》是ISO/IEC27000标准族的基础标准之一，主要为信息安全管理体系（ISMS）的建立、实施、保持和持续改进规定了要求（requirement）。

各个版本的ISO/IEC 27001主要包括两个部分：正文与附录A。

正文主要建立ISMS的框架，附录A与ISO/IEC 27002的第5章开始一一对应，是具体控制措施的描述。由于历史原因，ISMS借用了管理体系的通用框架，即PDCA（Plan Do Check Act）框架，这导致之前的版本主要强调的是模型，是方法论，在引言中也用了大量的篇幅说明什么是过程方法，标准中如何理解过程方法。在ISO/IEC 27001:2013已经抛弃了这个思路，新版标准首要的目标是紧扣标题，即提供要求。事实上，在ISO/IEC 27001:2005的应用中，也已经默认该标准的主要任务就是提要求。ISO/IEC 27001:2013整体的框架如图1所示。

图1 ISO/IEC 27001：2013框架

二、ISO/IEC 27001:2013正文的主要变化

本次改版是ISO/IEC 27001所有的历史版本中改变最大的一次，除了上文中所提到的ISO/IEC 27001:2013已经不再沿用管理体系的通用框架之外，还有下面这些主要变化：

1.不再沿用PDCA框架

如图1所示，虽然整体的框架与PDCA也在事实上基本保持了一致，但是新版标准中不再强调过程方法与戴明环等概念。

2.更加关注组织的情境2情境（context），此处比较通俗的讲就是：了解组织和组织情况。但是这样翻译太口语化，因为context在英文里面也是书面用语，日常用语中也不多见，多用于学术论文中。

ISO/IEC 27001:2013增加了第4章：组织情境。不仅是ISO/IEC27001:2005，甚至所有的管理体系标准，包括ISO 9001和ISO 14000等，都被质疑为“千人一面”。尤其在国内的部署过程中，由于主导力量是政府，导致这种情况可能更严重，使得长期存在“两层皮”的现象。新版标准加强了对理解组织所处情境的要求。

3.强调最高管理者的领导力

ISO/IEC 27001:2013第5章：领导力，描述用的词汇是最高管理者（top management），和ISO9001中的词汇保持了一致。而在ISO/IEC 27001:2005用的词汇是管理者（management），虽然只有一个词汇的差别，却是一个战略性的提升。

我们可以这样推测，ISO/IEC 27001的早期版本是模仿ISO 9001的，将ISO 9001的最高管理者改成了ISO/IEC 27001:2005的管理者，这也就是说，这其中的理解是质量管理需要最高管理者的支持，而信息安全管理则仅仅需要管理层的支持。因为对于模仿而言，沿用可能不需要深思熟虑，但是修改是需要深思熟虑的。而在ISO/IEC 27001:2013中，重新用了最高管理者意味着对信息安全重要性的重新认识以及如何获取信息安全的重新理解。

4.增加了绩效评价的章节

虽然ISO/IEC 27001:2005也强调了监视（monitor）与测量（measure），但始终没有出现绩效（performance）的词汇，新版标准中则明确的要求“影评价信息安全绩效以及信息安全管理体系有效性”，绩效更强调定量的测量。

三、ISO/IEC 27001:2013附录A的主要变化

附录A：控制目标和控制措施参考在ISO/IEC 27001各个版本中一直是变动比较频繁的地方，在本次改版中也存在较多的变化：

1.强调所有的“策略”，不单强调“方针”

在ISO/IEC 27001:2005用的词汇为“信息安全 方 针（Information security policy）”，在ISO/IEC 27001:2013则修改成“信息安全策略集（Information security policies）”，虽然看起来只有单复数的变化，但从policy到policies实际含义却存在较大的差异，我们可以理解为正文中描述的是“方针”（正文5.2），而在此处描述的是“策略集”。

2.通信与操作分称两个不同的安全域

在ISO/IEC 27001:2005中，通信和操作安全在“A.10通信和操作安全”，导致描述比较混乱，更重要的是不能分离信息系统的“使用人员”和“维护人员”，新版标准较好的解决了这个问题。

3.将密码技术单独成章节

密码技术虽然单独成为一章，但是内容区别不大，可能考虑到密码技术的特殊性。

4.增加了供应商关系，开始关注供应链风险

在之前的版本中，也有供应商、客户以及第三方的安全管理，但是都没有涉及整个供应链（supply chain），在ISO/IEC 27001:2013中增加了“A.15.1.3信息与通信技术供应链”，供应链的信息安全风险管理是近几年的研究热点，也出现了诸多文献，例如，ISO/IEC 27036-3:2013 Information technology—Security techniques—Information security for supplier relationships—Part 3:Guidelines for information and communication technology supply chain security；又如，NISP3美国国家标准与技术研究院（National Institute of Standards and Technology，NIST）。SP 800-161(Draft)2014 DRAFT Supply Chain Risk Management552 Practices for Federal Information Systems and Organizations(Second Draft)。

5.业务连续性只强调信息安全方面

信息安全只是信息安全连续性的一个方面，在ISO/IEC 27001:2005以及之前的版本中并没有专门说明，在本次改版中，树立了业务连续性、灾难恢复和信息安全的关系。由于业务连续性管理框架、业务连续性计划和灾难恢复计划中在其他标准中有更详细的讨论，因此在ISO/IEC 27001:2013中都不再强调，只关注在这个框架下的信息安全应保持预定水平，换句话说，无论什么情况下，都要保持信息的安全，这就需要一些额外的控制。

综上所述，ISO/IEC27001:2013与ISO/IEC27001:2005附录A的对比、映射与统计数据如表1所示。

表1 ISO/IEC 27001:2013与ISO/IEC 27001:2005附录A对比、映射与统计

ISO/IEC 27001:2013与ISO/IEC 27001:2005附录A控制域的映射关系如图2所示。

图2 ISO/IEC 27001：2013与ISO/IEC 27001：2005附录A控制域的映射

四、结语

ISO/IEC 27001:2013是所有ISO/IEC 27001版本中变动最大的一次，不但去掉了存在广泛争议的PDCA框架，而且重新分类和修订了诸多控制措施。整体而言，虽然削弱了标准文本组织的结构化，改版后的标准更贴合实际，具备了更强的可实施性。

[1]ISO/IEC 27001:2013 Information Security Management System Requirement[S].

[2]ISO/IEC 27002:2013 Code of Practice forInformation Security Control[S].

[3]谢宗晓.ISO/IEC 27001:2013标准解读及改版分析[M].北京：中国标准出版社，2014.

[4]谢宗晓.信息安全管理体系实施指南[M].北京：中国标准出版社，2012.