BS7799部分2:2002(条款号) | 27001:2005(条款号) | 变化和差异的注解 |
1.2应用 | 1.2应用 | 确定对国际标准化组织/国际电工委员会 27001条款4-8的删减都是不可接受的,解释在何种情况下对控制进行了删减是可能的。 |
3术语和定义 | 3术语和定义 | 从国际标准化组织/国际电工委员会 13335-1:2004,国际标准化组织/国际电工委员会 TR 18044:2004和国际标准化组织/国际电工委员会指南 73:2002中添加定义。 改变部分现有定义以配合国际标准化组织/国际电工委员会 13335-1:2004标准。重新明确定义了“风险处理”和“适用性声明”。 |
4.2.1 建立ISMS项目a) 定义ISMS的范围 | 4.2.1 建立ISMS 项目a)定义ISMS的范围和界线 | 现在,定义了ISMS的“范围和界线”的要求。要求包括:1、说明在范围内的部分2、解释被排除在范围外的理由。 |
项目c)定义风险评估的系统方法 | 在项目c) 中的第二句“定义组织的风险评估方法”被删除后新增了一条。 | 新增一条对现有的要求进行阐明和补充。 同时声明风险评估方法应产生可比较、可重复的结果。 |
项目g)为风险处理选择控制目标及控制。 | 项目g)“为风险处理选择控制目标及控制”已经被延伸了。 | 现有的要求加上了这样的阐释:选择应该考虑到在法律、法规及合同的要求范围内接受风险的标准。 |
项目h)准备适用性声明。 | 项目j)添加了新项目j)2)“准备适用性声明”。 | 阐明了现有关于适用性声明的要求。 现在强调它要包括当前实施的控制目标及控制。 |
4.22实施和运作ISMS | 4.22实施和运作ISMS 新增项目d) 定义如何测量有效性。 | 这可能是实施和运作ISMS过程中最大的改变,要求定义如何测量控制及控制组合的有效性,要求详细列出测量方法使控制效果评估产生可比较、可重复的结果。 |
4.2.3监控和评审ISMS 项目a)执行监控程序及其它的控制。 | 4.2.3监控和评审ISMS 项目a) 4)添加了“执行监控程序及其它的控制以探测安全事件”。 项目c)添加了“测量控制的效力”。 | 阐明了有助于预防安全事故的安全事件探测。 包括使用指标。 |
项目c)评审剩余风险和可接受风险。 | 新增项目d) 5)按计划的时间间隔评审风险评估,评审剩余风险和可接受风险,评审时要考虑现行控制的有效性的变化。 新增项目g)更新安全计划 | 与4.2.2.d结合以监控ISMS的效力。 现有要求的阐述,帮助监测现行控制的效果。 阐述和补充了以下要求:根据监控评审活动的发现来监控评审ISMS以更新安全计划的要求。 |
4.31概要 | 4.31概要第一段 | 阐明:文件要包括管理决策的记录,活动要根据管理决策和方针进行,记录/结果是可重复的。 |
| 第二段 | 新增一句说明所选择的控制与风险评估和风险处理过程的关系,以及与ISMS方针和目标的关系。 |
| 新增项目d)风险评估方法的描述 | 风险评估方法的描述要包含在文件中。 |
项目e)文件化的程序 | 项目g)“文件化的程序”已经被更新了 | 阐明并补充了描述如何测量控制的有效性的要求。 |
4.3.2文件控制 | 4.3.2文件控制 新增项目f) 确保文件是可用的 | 阐述了确保使用者可以获得所需文件的要求,及文件的转移存储和最终处置要按照合适的等级来处理。 |
5.1管理承诺 | 5.1管理承诺 新增项目g)保证ISMS内部审核得到管理。 | 在管理承诺中声明确保ISMS内部审核得到管理。 |
条款6.1 到6.3 | 条款7.1 到7.3 | 移动的章节 |
条款7.1 到7.3 | 条款8.1 到8.3 | 移动的章节 |
6.2评审输入 | 7.2评审输入 新增项目f) 有效性测量的结果 | 移动的章节 新增了有效性测量的结果。 |
6.3评审输出 | 7.3评审输出 新增项目b)更新风险评估和风险处理计划。 | 移动的章节 阐明确保更新风险评估和风险处理计划。 |
项目c) 必要时,修改影响信息安全的程序,以响应对ISMS造成影响的内外事件。 | 项目c) 必要时,修改影响信息安全的程序和控制,以响应对ISMS造成影响的内外事件。包括合同责任的改变。 | 阐明包括合同责任的改变。 |
| 新增项目e)改进控制有效性的测量方法。 | 加进了“改进控制效力的测量方法。”的声明。 |
6.4 ISMS内部审核 | 6.4ISMS内部审核 | 现在是第六章的唯一要求。 |
7.3预防措施 | 8.3预防措施 项目8.3b)“评估采取措施预防不符合发生的必要性” | 移动的章节 阐明预防措施。评估采取措施预防不符合发生的必要性 |
附录A | 附录A | 根据国际标准化组织/国际电工委员会 17799:2005的修订版本更新附录A |
附录B和表B1 | 附录B | 除了说明OECD原则和本国际标准之间的关系的表格外,其他被删除。删除的部分可能被国际标准化组织/国际电工委员会作为发展成新指南的基础。 |
附录C | 附录C | 更新后的版本 |
附录D | | 从 27001:2005版本中删除。 |