大数据背景下网络安全问题研究
                    Research on Network Security Issues under the Background of Big Data


             换到新版标准。
                  安言咨询技术总监张威表示，此次改版与旧版相比主要有三大差异：一是管理体
             系更容易整合；二是融入企业面临的新挑战；三是更多指引延伸参考。说明如下：
                  第一，易整合。以前各管理系统对管理制度面的要求有不太一致的描述方式，且
             章节不一。例如，管理制度的PDCA（Plan，Do，Check，Act）、政策与高级支持等

             管理制度面要求不同。在新版当中采取Annex SL做结构性要求，让不同管理系统易于
             接轨、整合。Annex SL的高级结构是ISO组织未来所有管理制度制定时的重要依据，
             目前已经有ISO 22301（前BS 25999营运持续管理系统）和这次的ISO 27001新版都已

             采此结构进行调整。预计已颁布的标准如ISO9000/ ISO20000未来的改版也将以相同的
             思路进行调整。
                  第二，新要求。ISO 27001：2005原本有11个领域（domain）、133项控制措施，
             新版DIS目前调整为14个领域（A.5-A.18）、113个控制措施（未来仍可能有改动）。
             新增的领域是将原分散在各领域中的部分控制目标级别提升，组成新领域，如加密与

             供应链管理因其重要性而被独立出来成为新领域；或是将原有领域分拆，如将通讯与
             作业管理分开成两个独立的领域，以反映目前信息安全的发展趋势。而控制措施的减
             少则是通过合并重复的项目来进行，像变更管理在不同的领域中有重复就予以合并。

             也有新增的控制项目比如对智能型装置的管理、强化ICT供应链的委外管理以及系统
             开发项目管理的信息安全要求等。
                  第三，更多参考。此次ISO也新增许多指引供企业参考，组织可以通过不同的面
             以及风险进行深度的强化，通过ISO 27001验证只是基本要求。目前ISO 27000系列指
             引编号已超过44号（001-044），像金融服务、数字鉴识、供应链管理（4本）、软件

             开发测试等，主管机关可参考这些指引做升级的要求。
                  对于正在准备ISO 27001的企业，建议无需等待新版，按照原定进度先取得
             27001：2005验证，在缓冲期结束前转到新版即可，新版会向下兼容接轨。























             • 76 •