体系认证一站式服务专业机构出证,认监委可查
ISO/IEC 27001标准与其它ISO标准的一个显著区别在于它有一个“规范性附录”——附录A。附录A中包含了在信息安全管理领域相对全面的具体控制措施,在标准出现之初,一度被各路大神评价为极具指导性的标准,便于实施。但随着安全技术的日新月异,标准中的部分控制措施逐步变为鸡肋一样的存在;另一方面,不同组织对于信息安全的关注点并不相同,当然也不可能借助同样一套控制措施实现卓越管理。
纵观本次27001标准升版,一方面是同步近年来ISO管理体系标准的高阶结构(HLS)的一些调整;另一方面是同步ISO/IEC 27002:2022的内容更新附录A;还有一方面内容是不可忽视的,新版标准在一些措辞上进一步明晰,例如条款6.1.3 c) 注解:
原描述 附录A包含了控制目标和控制的综合列表
现描述 附录A包含可能的信息安全控制列表
对标准附录A的选择会形成SOA(适用性声明),反映到27001的认证证书上,此次标准换版的描述变化进一步明确了27001附录A的定位是一个可供参考的“可能的”信息安全控制集。这个思想在2013版的标准中已经有所体现,但在标准的实际应用中并没有获得广泛的理解,此次修订是更进一步的澄清。
在线客服 