现版的信息安全管理体系ISO27001:2005标准已经使用了8年，日前ISO组织（国际标准化组织）终于将新版ISO27001:2013DIS版（国际标准草案Draft International Standard）草稿向公众开放并征求意见，ISO组织公布的正式版本的颁布时间为 2013年10月19日

　　改版影响

　　在新版公布后的18至24个月内是认证转换缓冲期，即原有已取得ISO27001证书的企业最迟需要在2015年10月19日前转换到新版标准。

　　1采用新结构

　　在新版当中采用ISO导则83做结构性要求，这个结构未来在ISO其他标准改版中会普遍采用。（ ISO 22301已应用）

　　将旧版11个控制领域拓展到14个，结构更合理，表现更清晰。

　　2控制更精益

　　将通信与操作管理领域拆分为通信安全与操作安全两个领域，比旧版标准更清晰的反应了实际的需求。

　　将旧版业务连续性管理更新为信息安全方面的业务连续性管理，表述更准确。

　　通过合并重复的控制项来精炼控制项的构成（如变更管理在不同的领域中有重复就予以合并）。

　　3引入新重点

　　将原分布在各领域的加密及供应链管理控制项级别提升，组成新领域，形成新重点，以反映目前信息安全的发展趋势。

　　新增了智能型装置管理的控制项

　　强化ICT供应链委外管理的要求

　　完善了系统开发项目管理的信息安全要求

　　4 新标准对已获得认证证书组织的影响

　　新标准的颁布和执行，对已通过ISO27001认证的企业会造成一定影响，在新版公布后的18至24个月的认证转换缓冲期中，原有已取得ISO27001证书的企业最迟需要在2015年10月19日前转换到新版标准。新标的执行需要企业在3方面对现有体系进行调整：

　　1风险评估工具需升级

　　随着新标准控制项架构的调整，企业目前使用的风险评估方法将受到一定影响，核心在于信息资产弱点建模及风险处置的控制项选择部分，需要重新构建符合新标准结构的风险评估工具。

　　2 SOA适用性声明及文件体系的升级

　　新标准的实施，将对SOA适用性声明及企业现有体系文件制度产生较大影响，体系一二级文件将需进行一个较大的内容调整及升级，不过，对三四级文件的影响较小，在三四级文件层面上，仅需根据新标要求进行少量增补即可。

　　3内部审核工具的升级

　　受内部管理制度的调整，内部审核的开展方式及使用工具将不可避免受到影响，也需根据新标要求进行升级