ISO/IEC 27001:2005變化摘要

時間：2020-09-04作者：廣匯聯(lián)合（北京）認(rèn)證服務(wù)有限公司瀏覽：200

BS7799部分2：2002（條款號）
ISO/IEC 27001:2005（條款號）
變化和差異的注解
1.2應(yīng)用
1.2應(yīng)用
確定對ISO/IEC 27001條款4-8的刪減都是不可接受的，解釋在何種情況下對控制進行了刪減是可能的。
3術(shù)語和定義
3術(shù)語和定義
從ISO/IEC 13335-1：2004，ISO/IEC TR 18044：2004和ISO/IEC指南 73:2002中添加定義。
改變部分現(xiàn)有定義以配合ISO/IEC 13335-1：2004標(biāo)準(zhǔn)。重新明確定義了“風(fēng)險處理”和“適用性聲明”。
4.2.1建立ISMS項目a) 定義ISMS的范圍
4.2.1建立ISMS
項目a)定義ISMS的范圍和界線
現(xiàn)在,定義了ISMS的“范圍和界線”的要求。要求包括：1、說明在范圍內(nèi)的部分2、解釋被排除在范圍外的理由。
項目c)定義風(fēng)險評估的系統(tǒng)方法
在項目c) 中的*二句“定義組織的風(fēng)險評估方法”被刪除后新增了一條。
新增一條對現(xiàn)有的要求進行闡明和補充。
同時聲明風(fēng)險評估方法應(yīng)產(chǎn)生可比較、可重復(fù)的結(jié)果。
項目g)為風(fēng)險處理選擇控制目標(biāo)及控制。
項目g)“為風(fēng)險處理選擇控制目標(biāo)及控制”已經(jīng)被延伸了。
現(xiàn)有的要求加上了這樣的闡釋：選擇應(yīng)該考慮到在法律、法規(guī)及合同的要求范圍內(nèi)接受風(fēng)險的標(biāo)準(zhǔn)。
項目h)準(zhǔn)備適用性聲明。
項目j)添加了新項目j)2)“準(zhǔn)備適用性聲明”。
闡明了現(xiàn)有關(guān)于適用性聲明的要求。
現(xiàn)在強調(diào)它要包括當(dāng)前實施的控制目標(biāo)及控制。
4.22實施和運作ISMS



4.22實施和運作ISMS
新增項目d) 定義如何測量有效性。
這可能是實施和運作ISMS過程中較大的改變，要求定義如何測量控制及控制組合的有效性，要求詳細(xì)列出測量方法使控制效果評估產(chǎn)生可比較、可重復(fù)的結(jié)果。
4.2.3監(jiān)控和評審ISMS
項目a)執(zhí)行監(jiān)控程序及其它的控制。
4.2.3監(jiān)控和評審ISMS
項目a) 4)添加了“執(zhí)行監(jiān)控程序及其它的控制以探測安全事件”。
項目c)添加了“測量控制的效力”。
闡明了有助于預(yù)防安全事故的安全事件探測。
包括使用指標(biāo)。
項目c)評審剩余風(fēng)險和可接受風(fēng)險。
新增項目d) 5)按計劃的時間間隔評審風(fēng)險評估，評審剩余風(fēng)險和可接受風(fēng)險，評審時要考慮現(xiàn)行控制的有效性的變化。
新增項目g)較新安全計劃
與4.2.2.d結(jié)合以監(jiān)控ISMS的效力。
現(xiàn)有要求的闡述，幫助監(jiān)測現(xiàn)行控制的效果。
闡述和補充了以下要求:根據(jù)監(jiān)控評審活動的發(fā)現(xiàn)來監(jiān)控評審ISMS以較新安全計劃的要求。
4.31概要
4.31概要**段
闡明：文件要包括管理決策的記錄，活動要根據(jù)管理決策和方針進行，記錄/結(jié)果是可重復(fù)的。

*二段
新增一句說明所選擇的控制與風(fēng)險評估和風(fēng)險處理過程的關(guān)系，以及與ISMS方針和目標(biāo)的關(guān)系。

新增項目d)風(fēng)險評估方法的描述
風(fēng)險評估方法的描述要包含在文件中。
項目e)文件化的程序
項目g)“文件化的程序”已經(jīng)被較新了
闡明并補充了描述如何測量控制的有效性的要求。
4.3.2文件控制
4.3.2文件控制
新增項目f) 確保文件是可用的
闡述了確保使用者可以獲得所需文件的要求，及文件的轉(zhuǎn)移存儲和較終處置要按照合適的等級來處理。
5.1管理承諾
5.1管理承諾
新增項目g）保證ISMS內(nèi)部審核得到管理。
在管理承諾中聲明確保ISMS內(nèi)部審核得到管理。
條款6.1 到6.3
條款7.1 到7.3
移動的章節(jié)
條款7.1 到7.3
條款8.1 到8.3

移動的章節(jié)
6.2評審輸入

7.2評審輸入
新增項目f) 有效性測量的結(jié)果
移動的章節(jié)
新增了有效性測量的結(jié)果。

6.3評審輸出
7.3評審輸出
新增項目b）較新風(fēng)險評估和風(fēng)險處理計劃。
移動的章節(jié)
闡明確保較新風(fēng)險評估和風(fēng)險處理計劃。
項目c) 必要時，修改影響信息安全的程序，以響應(yīng)對ISMS造成影響的內(nèi)外事件。
項目c) 必要時，修改影響信息安全的程序和控制，以響應(yīng)對ISMS造成影響的內(nèi)外事件。包括合同責(zé)任的改變。
闡明包括合同責(zé)任的改變。

新增項目e)改進控制有效性的測量方法。
加進了“改進控制效力的測量方法?！钡穆暶鳌?
6.4 ISMS內(nèi)部審核
6.4ISMS內(nèi)部審核
現(xiàn)在是*六章的一要求。

7.3預(yù)防措施
8.3預(yù)防措施
項目8.3b)“評估采取措施預(yù)防不符合發(fā)生的必要性”
移動的章節(jié)
闡明預(yù)防措施。評估采取措施預(yù)防不符合發(fā)生的必要性
附錄A
附錄A
根據(jù)ISO/IEC 17799:2005的修訂版本較新附錄A
附錄B和表B1
附錄B
除了說明OECD原則和本**標(biāo)準(zhǔn)之間的關(guān)系的表格外，其他被刪除。刪除的部分可能被ISO/IEC作為發(fā)展成新指南的基礎(chǔ)。
附錄C
附錄C
較新后的版本
附錄D

從ISO/IEC 27001:2005版本中刪除。
如您想較詳細(xì)的了解更多認(rèn)證資訊，請您網(wǎng)絡(luò)搜索廣匯聯(lián)合，快人一步，成就管理者風(fēng)范。


廣匯聯(lián)合（北京）認(rèn)證服務(wù)有限公司專注于服務(wù)認(rèn)證,IT信息管理認(rèn)證 ,三體系認(rèn)證等

• 詞條

  詞條說明

• ISO20000-策劃信息服務(wù)管理體系

  1、所需活動 組織創(chuàng)建、實施和維護反映服務(wù)管理方針、目標(biāo)和服務(wù)需求的信息服務(wù)管理計劃。 2、說明 此活動的目的是計劃信息服務(wù)管理體系，并在信息服務(wù)管理計劃中描述其設(shè)計，該計劃將有助于理解信息服務(wù)管理體系，以支持服務(wù)的交付。 該計劃與信息服務(wù)管理方針保持一致，并概述了如何在組織內(nèi)實施信息服務(wù)管理體系。信息服務(wù)管理計劃的關(guān)鍵輸入（除了服務(wù)管理方針外）包括服務(wù)管理目標(biāo)、業(yè)務(wù)策略和服務(wù)需求。 組織將計劃傳

• ISO/IEC 27017:2015 標(biāo)準(zhǔn)信息安全策略

  為了方便大家較好、較深層次的理解與運用ISO/IEC 27017:2015標(biāo)準(zhǔn)，北京廣匯聯(lián)合認(rèn)證**組，全新詮釋ISO/IEC 27017:2015 標(biāo)準(zhǔn)信息安全策略。 標(biāo)準(zhǔn)要求： 實施指南 客戶 針對云服務(wù)客戶的信息安全策略應(yīng)該定義為針對特定主題的策略。云服務(wù)客戶的云計算信息安全策略應(yīng)該與組織對其信息和其他資產(chǎn)的信息安全風(fēng)險的可接受水平保持一致，在制定云計算的信息安全策略時，云服務(wù)客戶應(yīng)考慮

• ISO20000-確定服務(wù)管理系統(tǒng)的范圍

  1、所需活動 組織確定信息服務(wù)管理體系的邊界和適用性，以確定其范圍。 2、說明 此必要活動的目的是使用收集到的內(nèi)外部因素和相關(guān)方的要求，以明確界定那些組織部分和那些服務(wù)將包括在信息服務(wù)管理體系中。因此，建立范圍是決定實施信息服務(wù)管理體系的所有其他活動的必要基礎(chǔ)的關(guān)鍵活動。 組織在確定信息服務(wù)管理體系范圍時考慮以下輸入： a） 內(nèi)部和外部因素； b） 相關(guān)方的需求和期望； c） 向客戶提供的服務(wù)或服

• 企業(yè)為什么要三體系認(rèn)證--ISO9001、ISO14001、ISO45001？

  做這三個體系認(rèn)證有以下目的： 1、實施ISO9001認(rèn)證，強化品質(zhì)管理，提高企業(yè)效益；增強客戶信心，擴大市場份額。 2、實施ISO9001認(rèn)證優(yōu)化企業(yè)內(nèi)部質(zhì)量架構(gòu)管理化，節(jié)省了各個流程的生產(chǎn)服務(wù)管理審核的精力和費用。 3、企業(yè)實施ISO14001標(biāo)準(zhǔn)可達到節(jié)能降耗、優(yōu)化成本、改善企業(yè)形象。 4、獲得ISO14001認(rèn)證已經(jīng)成為打破**綠色壁壘、進入歐美市場的準(zhǔn)入證，并逐漸成為組織進行生產(chǎn)、經(jīng)營活動