新版ISO 27001:2013於今年2月公開徵求大眾閱覽及意見,彙整相關意見後,ISO組織已於上(7)月3日發布國際標準最終草稿本(FDIS版)。FDIS版本的下一個階段就是正式版本的頒布,雖然FDIS版還是可能與正式版本有差異,但專家建議企業應及早從FDIS版中了解未來可能的改變及調整之處。
SGS國際驗證服務部ISO 27001產品經理林志明表示,新版調整方向朝領域(domain)的廣度增加,更精簡有效的控制目標及控制措施(control)發展。例如原本11個領域 (A.5 – A.15)變為14個領域(A.5 – A.18),但控制目標的數量卻由39個變成35個,控制措施也由133個變成114個,新增控制項重點請見下表。
BSI英國標準協會驗證部協理謝君豪則建議,企業在規劃ISO 27001轉版時應注意以下步驟:1) 進行人員教育訓練以了解新版內容;2)做新舊版落差分析;3)啟動專案,定義角色與權責;4)進行相關活動的調整,包含制度面要求及控制措施面要求等。關於新版ISO 27000更多內容請見此。
至於企業最關心的時程問題,林志明指出ISO組織可能會在今年11月才正式公告最後版本。而公告後的18~24個月是過渡期,已經導入的企業需在這段時間內完成轉版,若超過轉換期,原ISO 27001:2005證書就將自動失效,企業應把握時間進行轉版規畫。
資料來源:SGS提供(2013.08)