【摘要】現版的信息安全管理系統ISO 27001:2005標準已經使用了8年，日前ISO組織（國際標準化組織）終于將新版ISO 27001:2013 DIS版（國際標準草案Draft International Standard）草稿向公眾開放并征求意見，預計在今年6-7...
   【關鍵詞】ISO27001;信息安全
　　現版的信息安全管理系統ISO 27001:2005標準已經使用了8年，日前ISO組織（國際標準化組織）終于將新版ISO 27001:2013 DIS版（國際標準草案Draft International Standard）草稿向公眾開放并征求意見，預計在今年6-7月會發布DIS最終版。目前ISO組織公布的正式版本的頒布時間為2013年10月19日，在新版公布后的18至24個月內是轉換緩沖期，即原有已取得證書的企業最遲需要在2015年10月19日前轉換到新版標準。
　　BSI英國標準協會驗證部助理謝君豪表示，此次算是大改版，與舊版相比主要有三大差異：一、管理體系更容易整合；二、融入企業面臨的新挑戰；三、更多指引延伸參考。說明如下：
　　（1）　易整合：以前各管理系統對管理制度面的要求有不太一致的描述方式，且章節不一。例如管理制度的PDCA（Plan，Do，Check，Act）、政策與高級支持等管理制度面要求不同。在新版當中采取Annex SL做結構性要求，讓不同管理系統易于接軌、整合（如下圖）。Annex SL的高級結構是ISO組織未來所有管理制度制定時的重要依據，目前已經有ISO 22301（前BS 25999營運持續管理系統）和這次的ISO 27001新版都已采此結構進行調整。預計已頒布的標準如ISO9000/ ISO20000未來的改版也將以相同的思路進行調整。