BS7799部分2:2002(條款(kuan)號(hao)) | 27001:2005(條款號) | 變化和差異的注解(jie) |
1.2應用 | 1.2應用 | 確定對國(guo)際標(biao)準化組織/國(guo)際電工委員會 27001條款4-8的(de)刪(shan)減都是不可(ke)接受的(de),解(jie)釋在何種情(qing)況下(xia)對控(kong)制進行(xing)了刪(shan)減是可(ke)能的(de)。 |
3術語和(he)定義(yi) | 3術語和定(ding)義 | 從國(guo)際(ji)標準(zhun)化組(zu)織/國(guo)際(ji)電工委員會 13335-1:2004,國際標準(zhun)化組織(zhi)/國際電工委(wei)員(yuan)會 TR 18044:2004和(he)國(guo)(guo)際(ji)標準化組(zu)織/國(guo)(guo)際(ji)電(dian)工委(wei)員會指南 73:2002中添加定義(yi)。 改變(bian)部分現有(you)定(ding)義以(yi)配合國(guo)際標準化組(zu)織/國(guo)際電工(gong)委(wei)員會 13335-1:2004標準。重新(xin)明確定(ding)義了“風險處理”和“適(shi)用性聲明”。 |
4.2.1 建立ISMS項目a) 定(ding)義ISMS的范圍 | 4.2.1 建(jian)立ISMS 項(xiang)目a)定義ISMS的范圍和界(jie)線 | 現在(zai),定(ding)義(yi)了ISMS的(de)“范(fan)圍和界線”的(de)要(yao)求。要(yao)求包括:1、說明在(zai)范(fan)圍內(nei)的(de)部(bu)分2、解(jie)釋被(bei)排除在(zai)范(fan)圍外(wai)的(de)理由。 |
項目c)定義(yi)風險(xian)評估的系統方法(fa) | 在項(xiang)目c) 中(zhong)的第二句“定義組織的風(feng)險(xian)評估(gu)方法”被刪除后新增了一條(tiao)。 | 新增一條對現有的要求進行闡明和補充。 同(tong)時聲(sheng)明(ming)風險(xian)評估方法應(ying)產(chan)生可比較、可重復的(de)結果。 |
項目(mu)g)為風(feng)險(xian)處理(li)選擇控制(zhi)目(mu)標及控制(zhi)。 | 項目g)“為(wei)風險處理選擇控(kong)制目標及控(kong)制”已(yi)經被延伸了。 | 現有(you)的要(yao)求加上了這樣的闡釋:選擇應(ying)該考慮到(dao)在(zai)法律、法規(gui)及合同(tong)的要(yao)求范(fan)圍內接受風(feng)險的標準。 |
項目(mu)h)準備適用性聲明。 | 項目j)添加了新項目j)2)“準備適用性聲(sheng)明”。 | 闡明了現有關于適用性聲明的要求。 現在強調它要包(bao)括(kuo)當前實施的控制目標及(ji)控制。 |
4.22實施和運作ISMS | 4.22實施和運作(zuo)ISMS 新增項目d) 定義如(ru)何測量有效性。 | 這可(ke)能是實(shi)施和運作ISMS過程中最大的改變,要求(qiu)定(ding)義如何測(ce)量控(kong)(kong)制(zhi)及(ji)控(kong)(kong)制(zhi)組(zu)合(he)的有效性,要求(qiu)詳細列出測(ce)量方法使控(kong)(kong)制(zhi)效果評(ping)估產生可(ke)比較、可(ke)重復的結果。 |
4.2.3監控和評審ISMS 項目(mu)a)執(zhi)行(xing)監控(kong)程序(xu)及其它的控(kong)制(zhi)。 | 4.2.3監控和評審ISMS 項目a) 4)添加了“執行監控程序及其它的控制以探測安全事件”。 項目c)添加(jia)了“測量控制(zhi)的效力”。 | 闡明了有助于預防安全事故的安全事件探測。 包(bao)括使用指標(biao)。 |
項目c)評審(shen)剩(sheng)余風(feng)險和(he)可接受風(feng)險。 | 新增項目d) 5)按計劃的時間間隔評審風險評估,評審剩余風險和可接受風險,評審時要考慮現行控制的有效性的變化。 新(xin)增項目g)更新(xin)安全計劃 | 與4.2.2.d結合以監控ISMS的效力。 現有要求的闡述,幫助監測現行控制的效果。 闡(chan)述(shu)和補充(chong)了以下要(yao)求:根據監(jian)控評審活動的(de)發現(xian)來監(jian)控評審ISMS以更新安全(quan)計劃的(de)要(yao)求。 |
4.31概要(yao) | 4.31概要第一段(duan) | 闡明:文件要包括管理決策的(de)記錄(lu),活動要根據管理決策和(he)方針進行,記錄(lu)/結果(guo)是可重(zhong)復的(de)。 |
| 第二段(duan) | 新增一句(ju)說(shuo)明(ming)所選擇(ze)的(de)控制與風險評估和(he)風險處理過(guo)程的(de)關(guan)系(xi),以及與ISMS方(fang)針和(he)目標的(de)關(guan)系(xi)。 |
| 新增項(xiang)目d)風險(xian)評(ping)估方法的(de)描述 | 風險(xian)評(ping)估(gu)方(fang)法的(de)描述要包(bao)含(han)在文件(jian)中。 |
項目e)文件化(hua)的程序 | 項目(mu)g)“文件(jian)化的(de)程(cheng)序”已經被更新了 | 闡(chan)明并補充了(le)描述如何測量(liang)控制的(de)(de)有效性的(de)(de)要(yao)求。 |
4.3.2文件(jian)控制(zhi) | 4.3.2文件控制 新(xin)增項目f) 確(que)保文件是可用的 | 闡述了確(que)保(bao)使用者可以獲得所需文(wen)件的要求,及文(wen)件的轉移存儲(chu)和最(zui)終處置要按照合(he)適的等級來處理。 |
5.1管(guan)理承諾 | 5.1管理承(cheng)諾 新增項目(mu)g)保證(zheng)ISMS內部審核得到管理。 | 在管(guan)理承(cheng)諾中(zhong)聲明確保ISMS內部(bu)審核得到管(guan)理。 |
條款6.1 到6.3 | 條款(kuan)7.1 到7.3 | 移動的章節 |
條款7.1 到7.3 | 條款8.1 到8.3 | 移動的章節 |
6.2評(ping)審(shen)輸入(ru) | 7.2評審(shen)輸入 新增項目f) 有效(xiao)性測(ce)量的(de)結果(guo) | 移動的章節 新增了有效性測量的結(jie)果。 |
6.3評審輸出 | 7.3評審輸出 新增項目b)更新風(feng)險評(ping)估和風(feng)險處理計(ji)劃。 | 移動的章節 闡明(ming)確保更新風險評估和風險處(chu)理計劃。 |
項目c) 必要時,修改(gai)影(ying)(ying)響(xiang)信息安全的(de)程(cheng)序(xu),以響(xiang)應對ISMS造成影(ying)(ying)響(xiang)的(de)內(nei)外事件。 | 項目c) 必要時,修(xiu)改影響(xiang)信息(xi)安全的(de)程序和控制,以響(xiang)應對ISMS造成影響(xiang)的(de)內外事件(jian)。包括合同責任的(de)改變(bian)。 | 闡明(ming)包括合同責任的(de)改變(bian)。 |
| 新增項目e)改進控制有效(xiao)性(xing)的測量方法。 | 加進了“改進控制效力的(de)測(ce)量(liang)方法。”的(de)聲明。 |
6.4 ISMS內部審(shen)核(he) | 6.4ISMS內部審核 | 現在是(shi)第六章的唯(wei)一要求。 |
7.3預防措施 | 8.3預防措施 項目8.3b)“評(ping)估采(cai)取措施預防不符合發生的必要性” | 移動的章節 闡明預防措(cuo)(cuo)施(shi)。評估采取(qu)措(cuo)(cuo)施(shi)預防不符(fu)合發生的必要性 |
附錄A | 附錄A | 根(gen)據國際標(biao)準化(hua)組織/國際電(dian)工委員(yuan)會 17799:2005的修訂(ding)版本更(geng)新(xin)附錄A |
附錄B和表B1 | 附錄B | 除(chu)了說明OECD原(yuan)則和本國際(ji)標(biao)準之間的關系(xi)的表(biao)格(ge)外,其他被刪除(chu)。刪除(chu)的部分可能被國際標(biao)準化(hua)組(zu)織/國際電工委員會作(zuo)為發展成新指南的基礎。 |
附錄C | 附錄C | 更(geng)新后的版(ban)本 |
附錄D | | 從 27001:2005版本中刪除。 |