ISO27001新旧版标准差异分析.pdf

ISO/IEC27001 新旧版标准差异分析 2016年4月23日 ISO/IEC27000标准族分类 2 1 ISO/IEC27000标准族国际标准发布情况 标准族共预留60个标准号，27000-27059 目前ISO发布的标准有34个，包括： ISO/IEC27000:2014 信息安全管理体系 概述和词汇 ISO/IEC27001:2013 信息安全管理体系要求 ISO/IEC27002:2013 信息安全管理实用规则 ISO/IEC27003:2010 信息安全管理体系实施指南 ISO/IEC27004:2009 信息安全管理测量 ISO/IEC27005:2011 信息安全风险管理 ISO/IEC27006:2011 信息安全管理体系审核认证机构要求 ISO/IEC27007:2011 信息安全管理体系审核指南 ISO/IEC TR 27008:2011 信息安全控制措施审核员指南 其他的还有：27010、27011、27013、27014、27015、27016、27018、 27019、27031、27032、27033、27034、27035、27036、27037、27038 3 ISO/IEC27000标准族国标发布情况 GB/T29246-2012 ，信息技术安全技术 信息安全管理体系 概述和词汇 GB/T22080-2008 ，信息技术安全技术 信息安全管理体系 要求 GB/T22081-2008 ，信息技术安全技术 信息安全管理实 规则 4 2 ISO/IEC27000标准族发展历史 1993年，英国DTI ，发布了信息安全使用规则 1995年，英国标准协会，发布了BS7799第一部分 1998年，英国标准协会，发布了BS7799第二部分 2000年，ISO/IEC ，发布了ISO/IEC17799:2000 2005年，ISO/IEC ，修订发布了ISO/IEC17799:2005 2005年，ISO/IEC ，发布了ISO/IEC27001:2005 2007年，ISO/IEC ，发布了ISO/IEC27002:2005 5 什么是信息安全管理体系 信息安全三要素：保密性、完整性和可用性。 信息安全管理体系（ISMS ）是为了实现保护信息资产的目的， 组织对包括方针、策略、规程、指南以及相关资源和活动进行 管理。 ISMS是一套建立、实施、运行、监视、评审、保持和持续改 进组织信息安全的系统方法，从而实现其业务目标。 ISMS是基于风险管理并应用适当控制措施确保信息资产得到 保护。 6 3 ISO/IEC27000:2013从这里开始 1、标准框架的变化 2、标准要求的变化 3、附录A结构的变化 4、控制措施变化 7 变化一：标准框架的改变  总则  本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。  本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号 仅为方便引用。 不再提及PDCA和过程方法  与其他管理体系标准的兼容性  本标准应用了ISO/IEC 导则第一部分的ISO补充部分附录SL中定义的高层 结构、同一子条款标题、同一文本、通用术语和核心定义，因此保持了 与其它采用附录SL