|
BS7799部分2:2002(條款號) |
ISO/IEC 27001:2005(條款號) |
變化和差異的注解 |
|
1.2應用 |
1.2應用 |
確定對ISO/IEC 27001條款4-8的刪減都是不可接受的,解釋在何種情況下對控制進行了刪減是可能的�。 |
|
3術(shù)語和定義 |
3術(shù)語和定義 |
從ISO/IEC 13335-1:2004��,ISO/IEC TR 18044:2004和ISO/IEC指南 73:2002中添加定義��。
改變部分現(xiàn)有定義以配合ISO/IEC 13335-1:2004標準�����。重新明確定義了“風險處理”和“適用性聲明”���。 |
|
4.2.1 建立ISMS項目a) 定義ISMS的范圍 |
4.2.1 建立ISMS
項目a)定義ISMS的范圍和界線 |
現(xiàn)在,定義了ISMS的“范圍和界線”的要求。要求包括:1����、說明在范圍內(nèi)的部分2、解釋被排除在范圍外的理由�����。 |
|
項目c)定義風險評估的系統(tǒng)方法 |
在項目c) 中的第二句“定義組織的風險評估方法”被刪除后新增了一條�����。 |
新增一條對現(xiàn)有的要求進行闡明和補充�。
同時聲明風險評估方法應產(chǎn)生可比較、可重復的結(jié)果��。 |
|
項目g)為風險處理選擇控制目標及控制����。 |
項目g)“為風險處理選擇控制目標及控制”已經(jīng)被延伸了。 |
現(xiàn)有的要求加上了這樣的闡釋:選擇應該考慮到在法律���、法規(guī)及合同的要求范圍內(nèi)接受風險的標準����。 |
|
項目h)準備適用性聲明�����。 |
項目j)添加了新項目j)2)“準備適用性聲明”��。 |
闡明了現(xiàn)有關(guān)于適用性聲明的要求。
現(xiàn)在強調(diào)它要包括當前實施的控制目標及控制���。 |
|
4.22實施和運作ISMS
|
4.22實施和運作ISMS
新增項目d) 定義如何測量有效性���。 |
這可能是實施和運作ISMS過程中最大的改變,要求定義如何測量控制及控制組合的有效性�����,要求詳細列出測量方法使控制效果評估產(chǎn)生可比較�����、可重復的結(jié)果�。 |
|
4.2.3監(jiān)控和評審ISMS
項目a)執(zhí)行監(jiān)控程序及其它的控制。 |
4.2.3監(jiān)控和評審ISMS
項目a) 4)添加了“執(zhí)行監(jiān)控程序及其它的控制以探測安全事件”�。
項目c)添加了“測量控制的效力”。 |
闡明了有助于預防安全事故的安全事件探測����。
包括使用指標。 |
|
項目c)評審剩余風險和可接受風險����。 |
新增項目d) 5)按計劃的時間間隔評審風險評估��,評審剩余風險和可接受風險�,評審時要考慮現(xiàn)行控制的有效性的變化��。
新增項目g)更新安全計劃 |
與4.2.2.d結(jié)合以監(jiān)控ISMS的效力��。
現(xiàn)有要求的闡述����,幫助監(jiān)測現(xiàn)行控制的效果����。
闡述和補充了以下要求:根據(jù)監(jiān)控評審活動的發(fā)現(xiàn)來監(jiān)控評審ISMS以更新安全計劃的要求。 |
|
4.31概要 |
4.31概要第一段 |
闡明:文件要包括管理決策的記錄�����,活動要根據(jù)管理決策和方針進行�,記錄/結(jié)果是可重復的。 |
|
|
第二段 |
新增一句說明所選擇的控制與風險評估和風險處理過程的關(guān)系�����,以及與ISMS方針和目標的關(guān)系��。 |
|
|
新增項目d)風險評估方法的描述 |
風險評估方法的描述要包含在文件中。 |
|
項目e)文件化的程序 |
項目g)“文件化的程序”已經(jīng)被更新了 |
闡明并補充了描述如何測量控制的有效性的要求�。 |
|
4.3.2文件控制 |
4.3.2文件控制
新增項目f) 確保文件是可用的 |
闡述了確保使用者可以獲得所需文件的要求,及文件的轉(zhuǎn)移存儲和最終處置要按照合適的等級來處理����。 |
|
5.1管理承諾 |
5.1管理承諾
新增項目g)保證ISMS內(nèi)部審核得到管理。 |
在管理承諾中聲明確保ISMS內(nèi)部審核得到管理�。 |
|
條款6.1 到6.3 |
條款7.1 到7.3 |
移動的章節(jié) |
|
條款7.1 到7.3 |
條款8.1 到8.3 |
移動的章節(jié) |
|
6.2評審輸入 |
7.2評審輸入
新增項目f) 有效性測量的結(jié)果 |
移動的章節(jié)
新增了有效性測量的結(jié)果。 |
|
6.3評審輸出 |
7.3評審輸出
新增項目b)更新風險評估和風險處理計劃��。 |
移動的章節(jié)
闡明確保更新風險評估和風險處理計劃�����。 |
|
項目c) 必要時��,修改影響信息安全的程序�����,以響應對ISMS造成影響的內(nèi)外事件�����。 |
項目c) 必要時�,修改影響信息安全的程序和控制����,以響應對ISMS造成影響的內(nèi)外事件�����。包括合同責任的改變�����。 |
闡明包括合同責任的改變���。 |
|
|
新增項目e)改進控制有效性的測量方法。 |
加進了“改進控制效力的測量方法�。”的聲明�����。 |
|
6.4 ISMS內(nèi)部審核 |
6.4ISMS內(nèi)部審核 |
現(xiàn)在是第六章的唯一要求���。 |
|
7.3預防措施 |
8.3預防措施
項目8.3b)“評估采取措施預防不符合發(fā)生的必要性” |
移動的章節(jié)
闡明預防措施����。評估采取措施預防不符合發(fā)生的必要性 |
|
附錄A |
附錄A |
根據(jù)ISO/IEC 17799:2005的修訂版本更新附錄A |
|
附錄B和表B1 |
附錄B |
除了說明OECD原則和本國際標準之間的關(guān)系的表格外,其他被刪除��。刪除的部分可能被ISO/IEC作為發(fā)展成新指南的基礎(chǔ)����。 |
|
附錄C |
附錄C |
更新后的版本 |
|
附錄D |
|
從ISO/IEC 27001:2005版本中刪除。 |
