ISO与IAF修订ISO/IEC 27001标准修正案 为响应《国际标准化组织伦敦宣言》中关于应对气候变化的承诺,国际标准化组织(ISO)和国际宇航联合会(IAF)对ISO标准统一结构第4章(ISO/IEC指令第1部分ISO综合补编附件SL附录2)进行了重要修订。ISO/IEC 27001标准作为受影响的标准之一,其更新内容值得关注。
在ISO标准统一结构的第4章中,已经明确要求并解释了理解组织背景以及相关方的需求和期望的重要性。在此基础上,组织需要采取额外措施,确保在分析过程中始终将气候变化纳入考量。气候变化等因素影响业务连续性,影响IT基础设施(IT机房,网络,电力供应等)。
ISO/IEC 27001标准下的ISMS系统应考虑的因素 尽管ISO/IEC 27001标准并未提供标准化的方法来直接应对气候变化问题,但以下摘自IQNet发布的白皮书的内容,为ISMS系统在考虑气候变化时提供了重要参考:
●物理安全与基础设施:气候变化可能加剧洪水、风暴或野火等极端天气事件的频率和强度,对IT基础设施构成物理威胁。因此,组织需要考虑额外的措施来保护物理资产,使其免受这些环境威胁的影响。
●灾难恢复与业务连续性:与环境灾害相关的风险要求组织制定更为强大的灾难恢复和业务连续性计划。认证组织若将此视为关键方面,其ISMS应包含在气候相关灾害导致中断时维护信息安全的战略。
●供应链安全:气候变化可能对供应链造成破坏,包括IT硬件和服务的供应链。组织应评估这些风险,并确保ISMS能够应对供应链中的潜在漏洞,保障信息安全。
●能源管理与能效:作为应对气候变化的措施之一,IT运营越来越重视能效和可持续性。这可能涉及到采用绿色数据中心、节能硬件和可持续的IT实践。
●法规遵从与报告:随着对可持续发展和环境影响的关注日益增加,可能会出现与气候变化相关的新法规和报告要求。认证组织必须确保遵守这些新法规,尤其是那些对数据管理和安全产生影响的规定。
●数据中心的选址与设计:数据中心的选址和设计可能需要考虑气候变化因素,选择不易受自然灾害影响的地区,或采用在确保安全性和可用性的同时,最大限度减少对环境影响的设计策略。 通过将这些因素纳入ISMS系统的考量,组织能够更好地应对气候变化带来的挑战,确保信息安全管理体系的持续有效性。
DQS新闻
中国 DQS AP
Responsible for social media,Marketing & Sales activities in China.