ISO27001较BS77992有什么修订?(怎么申请ISO认证)

ISO27001较BS7799-2有什么修订？

BS7799部分2：2002（条款号）

ISO/IEC 27001:2005（条款号）

转变和差异的注解

1.2应用

1.2应用

明确对ISO/IEC 27001条款4-8的删减都是不可接受的，解释在何种情况下对控制进行了删减是可能的。

3术语和定义

3术语和定义

从ISO/IEC 13335-1：2004，ISO/IEC TR 18044：2004和ISO/IEC指南73:2002中添加定义。改变部分现有定义以配合ISO/IEC 13335-1：2004标准。重新明明确义了“风险处理”和“适用性声明”。

4.2.1建立ISMS项目a)定义ISMS的范围

4.2.1建立ISMS项目a)定义ISMS的范围和界线

现在,定义了ISMS的“范围和界线”的要求。要求包含：1、说明在范围内的部分2、解释被排除在范围外的理由。

项目c)定义风险评估的系统方法

在项目c)中的第二句“定义组织的风险评估方法”被删除后新增了一条。

新增一条对现有的要求进行阐明和补充。同时声明风险评估方法应产生可比较、可重复的结果。

项目g)为风险处理选择控制目标及控制。

项目g)“为风险处理选择控制目标及控制”已经被延伸了。

现有的要求加上了这样的阐释：选择应该考虑到在法律、法规及合同的要求范围内接受风险的标准。

项目h)准备适用性声明。

项目j)添加了新项目j)2)“准备适用性声明”。

阐明了现有关于适用性声明的要求。现在强调它要包含当前实施的控制目标及控制。

4.22实施和运作ISMS

4.22实施和运作ISMS新增项目d)定义怎样测量有效性。

这可能是实施和运作ISMS过程中最大的改变，要求定义怎样测量控制及控制组合的有效性，要求详细列出测量方法使控制效果评估产生可比较、可重复的结果。

4.2.3监控和评审ISMS项目a)执行监控程序以及它的控制。

4.2.3监控和评审ISMS项目a) 4)添加了“执行监控程序以及它的控制以探测安全事件”。项目c)添加了“测量控制的效力”。

阐明了有助于预防安全事故的安全事件探测。包含使用指标。

项目c)评审剩余风险和可接受风险。

新增项目d) 5)按计划的时间间隔评审风险评估，评审剩余风险和可接受风险，评审时要考虑现行控制的有效性的转变。新增项目g)更新安全计划

与4.2.2.d结合以监控ISMS的效力。现有要求的阐述，协助监测现行控制的效果。阐述和补充了以下要求:根据监控评审活动的发现来监控评审ISMS以更新安全计划的要求。

4.31概要

4.31概要第一段

阐明：文件要包含管理决策的记录，活动要根据管理决策和方针进行，记录/结果是可重复的。

第二段

新增一句说明所选择的控制与风险评估和风险处理过程的关系，以及与ISMS方针和目标的关系。

新增项目d)风险评估方法的描述

风险评估方法的描述要包含在文件中。

项目e)文件化的程序

项目g)“文件化的程序”已经被更新了

阐明并补充了描述怎样测量控制的有效性的要求。

4.3.2文件控制

4.3.2文件控制新增项目f)确保文件是可用的

阐述了确保使用者能够获得所需文件的要求，及文件的转移存储和最终处置要按照合适的等级来处理。

5.1管理承诺

5.1管理承诺新增项目g）保证ISMS内部审核得到管理。

在管理承诺中声明确保ISMS内部审核得到管理。

条款6.1到6.3

条款7.1到7.3

移动的章节

条款7.1到7.3

条款8.1到8.3

移动的章节

6.2评审输入

7.2评审输入新增项目f)有效性测量的结果

移动的章节新增了有效性测量的结果。

6.3评审输出

7.3评审输出新增项目b）更新风险评估和风险处理计划。

移动的章节阐明确保更新风险评估和风险处理计划。

项目c)必要时，修改影响信息安全的程序，以响应对ISMS造成影响的内外事件。

项目c)必要时，修改影响信息安全的程序和控制，以响应对ISMS造成影响的内外事件。包含合同责任的改变。

阐明包含合同责任的改变。

新增项目e)改进控制有效性的测量方法。

加进了“改进控制效力的测量方法。”的声明。

6.4 ISMS内部审核

6.4ISMS内部审核

现在是第六章的唯一要求。

7.3预防措施

8.3预防措施项目8.3b)“评估采取措施预防不符合发生的必要性”

移动的章节阐明预防措施。评估采取措施预防不符合发生的必要性

附录A

附录A

根据ISO/IEC 17799:2005的修订版本更新附录A

附录B和表B1

附录B

除了说明OECD原则和本国际标准之间的关系的表格外，其他被删除。删除的部分可能被ISO/IEC作为发展成新指南的基础。

附录C

附录C

更新后的版本

附录D

从ISO/IEC 27001:2005版本中删除。

今日通过对《ISO27001较BS7799-2有什么修订？》的学习，相信你对认证有更好的认识。假如要办理相关认证，请联络我们吧。