ISO27001信息安全管理体系新旧版本标准条款对照表.docx
《ISO27001信息安全管理体系新旧版本标准条款对照表.docx》由会员分享,可在线阅读,更多相关《ISO27001信息安全管理体系新旧版本标准条款对照表.docx(58页珍藏版)》请在冰豆网上搜索。
ISO27001信息安全管理体系新旧版本标准条款对照表
ISO27001信息安全管理体系新旧版本标准条款对照表
ISO27001:
2013
ISO27001:
2005
A.5信息安全方针
A.5信息安全方针
A.5.1信息安全管理指引
A.5.1信息安全管理指引
目标:
提供符合有关法律法规和业务需求的信息安全管理指引和支持。
目标:
依据业务要求和相关法律法规提供管理指导并支持信息安全。
A.5.1.1
信息安全方针
应定义信息安全方针,信息安全方针文件应经过管理层批准,并向所有员工和相关方发布和沟通。
A.5.1.1
信息安全方针
信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。
A.5.1.2
信息安全方针的评审
应定期或在发生重大的变化时评审方针文件,确保方针的持续性、稳定性、充分性和有效性。
A.5.1.2
信息安全方针的评审
应按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保它持续的适宜性、充分性和有效性。
A.6信息安全组织
A.6信息安全组织
A.6.1内部组织
A.6.1内部组织
目标:
建立信息安全管理框架,在组织内部启动和控制信息安全实施。
目标:
在组织内管理信息安全。
A.6.1.1
信息安全的角色和职责
应定义和分配所有信息安全职责。
A.6.1.1
信息安全的管理承诺
管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认,来积极支持组织内的安全。
A.6.1.2
职责分离
有冲突的职责和责任范围应分离,以减少对组织资产XX访问、无意修改或误用的机会。
A.6.1.2
信息安全协调
信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调。
A.6.1.3
与监管机构的联系
应与相关监管机构保持适当联系。
A.6.1.3
信息安全职责的分配
所有的信息安全职责应予以清晰地定义。
A.6.1.4
与特殊利益团体的联系
与特殊利益团体、其他专业安全协会或行业协会应保持适当联系。
A.6.1.4
信息处理设施的授权过程
新信息处理设施应定义和实施一个管理授权过程。
A.6.1.5
项目管理中的信息安全
实施任何项目时应考虑信息安全相关要求。
A.6.1.5
保密性协议
应识别并定期评审反映组织信息保护需要的保密性或不泄露协议的要求。
A.6.1.6
与政府部门的联系
应保持与政府相关部门的适当联系。
A.6.1.7
与特定权益团体的联系
应保持与特定权益团体、其他安全专家组和专业协会的适当联系。
A.6.2外部各方
目标:
保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。
A.6.2.1
与外部各方相关风险的识别
应识别涉及外部各方业务过程中组织的信息和信息处理设施的风险,并在允许访问前实施适当的控制措施。
A.6.2.2
处理与顾客有关的安全问题
应在允许顾客访问组织信息或资产之前处理所有确定的安全要求。
A.6.2.3
处理第三方协议中的安全问题
涉及访问、处理或管理组织的信息或信息处理设施以及与之通信的第三方协议,或在信息处理设施中增加产品或服务的第三方协议,应涵盖所有相关的安全要求。
A.6.2移动设备和远程办公
A.11.7移动计算和远程工作
目标:
应确保远程办公和使用移动设备的安全性。
目标:
应确保远程办公和使用移动设备的安全性。
A.6.2.1
移动设备策略
应采取安全策略和配套的安全措施控制使用移动设备带来的风险。
A.11.7.1
移动计算和通信
应有正式策略并且采用适当的安全措施,以防范使用可移动计算和通信设施时所造成的风险。
A.6.2.2
远程办公
应实施安全策略和配套的安全措施以保障远程办公时信息的访问、处理和存储的安全。
A.11.7.2
远程工作
应为远程工作活动开发和实施策略、操作计划和程序。
A.7人力资源安全
A.8人力资源安全
A.7.1任用前
A.8.1任用前
目标:
确保员工、合同方人员理解他们的职责并适合他们所承担的角色。
目标:
确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的,以降低设施被窃、欺诈和误用的风险。
A.7.1.1
人员筛选
根据相关法律、法规、道德规范,对员工、合同人员及承包商人员进行背景调查,调查应符合业务需求、访问的信息类别及已知风险。
A.8.1.1
角色和职责
雇员、承包方人员和第三方人员的安全角色和职责应按照组织的信息安全方针定义并形成文件。
A.7.1.2
任用条款和条件
与员工和承包商的合同协议应当规定他们对组织的信息安全责任。
A.8.1.2
审查
关于所有任用的候选者、承包方人员和第三方人员的背景验证检查应按照相关法律法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。
A.8.1.3
任用条款和条件
作为他们合同义务的一部分,雇员、承包方人员和第三方人员应同意并签署他们的任用合同的条款和条件,这些条款和条件要声明他们和组织的信息安全职责。
A.7.2任用中
A.8.2任用中
目标:
确保员工和合同方了解并履行他们的信息安全责任。
目标:
确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针,以减少人为过失的风险。
A.7.2.1
管理职责
管理层应要求员工、合同方符合组织建立的信息安全策略和程序。
A.8.2.1
管理职责
管理者应要求雇员、承包方人员和第三方人员按照组织已建立的方针策略和程序对安全尽心尽力。
A.7.2.2
信息安全意识、教育与培训
组织内所有员工、相关合同人员及合同方人员应接受适当的意识培训,并定期更新与他们工作相关的组织策略及程序。
A.8.2.2
信息安全意识、教育与培训
组织的所有雇员,适当时,包括承包方人员和第三方人员,应受到与其工作职能相关的适当的意识培训和组织方针策略及程序的定期更新培训。
A.7.2.3
纪律处理过程
应建立并传达正式的惩戒程序,据此对违反安全策略的员工进行惩戒。
A.8.2.3
纪律处理过程
对于安全违规的雇员,应有一个正式的纪律处理过程。
A.7.3任用终止和变更
A.8.3任用终止和变更
目标:
保证组织利益是雇佣终止和变更的一部分
目标:
确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。
A.7.3.1
任用终止或变更的责任
应定义信息安全责任和义务在雇用终止或变更后仍然有效,并向员工和合同方传达并执行。
A.8.3.1
终止职责
任用终止或任用变化的职责应清晰的定义和分配。
A.8.3.2
资产的归还
所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时,应归还他们使用的所有组织资产。
A.8.3.3
撤销访问权
所有雇员、承包方人员和第三方人员对信息和信息处理设施的访问权应在任用、合同或协议终止时删除,或在变化时调整。
A.8资产管理
A.7资产管理
A.8.1资产的责任
A.7.1资产的责任
目标:
确定组织资产,并确定适当的保护责任。
目标:
实现和保持对组织资产的适当保护。
A.8.1.1
资产清单
应制定和维护信息资产和信息处理设施相关资产的资产清单。
A.7.1.1
资产清单
应清晰的识别所有资产,编制并维护所有重要资产的清单。
A.8.1.2
资产责任人
资产清单中的资产应指定资产责任人(OWNER)。
A.7.1.2
资产责任人
与信息处理设施有关的所有信息和资产应由组织的指定部门或人员承担责任。
A.8.1.3
资产的合理使用
应识别信息和信息处理设施相关资产的合理使用准则,形成文件并实施。
A.7.1.3
资产的允许使用
与信息处理设施有关的信息和资产使用允许规则应被确定、形成文件并加以实施。
A.8.1.4
资产的归还
在劳动合同或协议终止后,所有员工和外部方人员应退还所有他们使用的组织资产。
A.8.2信息分类
A.7.2信息分类
目标:
确保信息资产是按照其对组织的重要性受到适当级别的保护。
目标:
确保信息受到适当级别的保护。
A.8.2.1
信息分类
应根据法规、价值、重要性和敏感性对信息进行分类,保护信息免受未授权泄露或篡改。
A.7.2.1
分类指南
信息应按照它对组织的价值、法律要求、敏感性和关键性予以分类。
A.8.2.2
信息标识
应制定和实施合适的信息标识程序,并与组织的信息分类方案相匹配。
A.7.2.2
信息的标记和处理
应按照组织所采纳的分类机制建立和实施一组合适的信息标记和处理程序。
A.8.2.3
资产处理
应根据组织采用的资产分类方法制定和实施资产处理程序
A.8.3介质处理
A.10.7介质处理
目标:
防止存储在介质上的信息被未授权泄露、修改、删除或破坏。
目标:
防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断。
A.8.3.1
可移动介质管理
应实施移动介质的管理程序,并与组织的分类方案相匹配。
A.10.7.1
可移动介质管理
应有适当的可移动介质的管理程序。
A.8.3.2
介质处置
当介质不再需要时,应按照正式程序进行可靠的、安全的处置。
A.10.7.2
介质处置
不再需要的介质,应使用正式的程序可靠并安全地处置。
A.8.3.3
物理介质传输
含有信息的介质应加以保护,防止XX的访问、滥用或在运输过程中的损坏。
A.10.7.3
信息处理程序
应建立信息的处理及存储程序,以防止信息的未授权的泄漏或不当使用。
A.10.7.4
系统文件安全
应保护系统文件以防止未授权的访问。
A.9访问控制
A.11访问控制
A.9.1访问控制的业务需求
A.11.1访问控制的业务需求
目标:
限制对信息和信息处理设施的访问。
目标:
控制对信息的访问。
A.9.1.1
访问控制策略
应建立文件化的访问控制策略,并根据业务和安全要求对策略进行评审。
A.11.1.1
访问控制策略
访问控制策略应建立、形成文件,并基于业务和访问的安全要求进行评审。
A.9.1.2
对网络和网络服务的访问
应只允许用户访问被明确授权使用的网络和网络服务。
A.9.2用户访问管理
A.11.2用户访问管理
目标:
确保已授权用户的访问,预防对系统和服务的非授权访问。
目标:
确保授权用户访问信息系统,并防止未授权的访问。
A.9.2.1
用户注册和注销
应实施正式的用户注册和注销程序来分配访问权限。
A.11.2.1
用户注册
应有正式的用户注册及注销程序,来授权和撤销对所有信息系统及服务的访问。
A.9.2.2
用户访问权限提供
无论什么类型的用户,在对其授予或撤销对所有系统和服务的权限时,都应实施一个正式的用户访问配置程序。
A.11.2.2
特权管理
应限制和控制特殊权限的分配及使用。
A.9.2.3
特权管理
应限制及控制特权的分配及使用。
A.11.2.3
用户口令管理
应通过正式的管理过程控制口令的分配。
A.9.2.4
用户认证信息的安全管理
用户鉴别信息的权限分配应通过一个正式的管理过程进行安全控制。
A.11.2.4
用户访问权的复查
管理者应定期使用正式过程对用户的访问权进行复查。
A.9.2.5
用户访问权限的评
升级会员 