实验室CMA认证|LA劳安认证|特种设备许可证认证|QS认证|生产许可证-恩湛咨询
电话/传真:020-38849876
手机:13066329278
QQ:120478621
邮箱:120478621@qq.com
公司地址:广州市花都区新雅街清布辕门街12号1栋312室之一(空港花都)
本文简要介绍了ISO/IEC27001:2013标准附录A中的控制措施,并与ISO/IEC27001:2005中的控制措施进行了对比,总结了变化之处。
ISO/IEC27001:2013标准保留了ISO/IEC27001:2005中大多数的控制措施,新版标准对2005版中相近或类似的措施进行了整合,删除了部分过时的或太具体的措施。并在控制域的划分、控制项的逻辑结构上做了调整和优化。对一些控制措施的位置进行了移动,相关的项进行了合并,使条款布局更简洁、更合理。ISO/IEC27001:2005标准有11个控制域,39个目标,133个控制措施,ISO/IEC27001:2013标准调整为14个控制域,35个目标,114个控制措施。
一、控制域的调整
在2013版中,“A.10密码”和“A.15供应商管理”成为独立的控制域。2005版中的“A.10通信和操作管理”域,在2013版中拆分成了“A.12操作安全”和“A.13通信安全”两个域。2013版中的“A.14系统获取、开发和维护”域是由2005版中的“A.12信息系统获取、开发和维护”域改进而来,控制项设置的逻辑性更合理、更加关注开发过程中的安全,而不是开发过程本身。同样,2005版“A.14业务连续性管理”变为2013版的“A.17业务连续性管理的信息安全方面”,内容上也体现了本标准的本质,关注“业务连续性管理中的信息安全”,而不是“业务连续性管理”。
二、新版不再保留的控制措施
表1展示了在2013版中不再保留的ISO/IEC27001:2005控制措施,并对该控制措施不再保留的原因进行简要分析,见表一。
三、控制措施的变化
表2将ISO/IEC27001:2013与ISO/IEC27001:2005附录A控制措施的变化进行了说明,包括了新增、合并和移动的部分进行了对照。限于篇幅,对于控制域和实际内容基本无变化的不再加以说明。
四、结语
由于时代的局限以及信息技术的飞速发展,ISO/IEC27001:2005版中的控制措施存在的问题,现在看来显而易见。ISO/IEC27001:2013版本的发布及时地解决了该领域咨询与审核工作中的困扰,必将使信息安全管理体系的进一步推广获得便利。