收藏首页 |常见问题 |网站地图 欢迎来到恩湛咨询官网!

全国服务热线400 880 6978 广州公司 130 6632 9278
上海公司 181 1751 4678

为您提供最贴心的一站式管理咨询服务 专注企业管理咨询,管理咨询优秀品牌,中国著名品牌

广州恩湛咨询

联系恩湛咨询

联恩湛咨询

实验室CMA认证|LA劳安认证|特种设备许可证认证|QS认证|生产许可证-恩湛咨询

电话/传真:020-38849876

手机:13066329278

QQ:120478621

邮箱:120478621@qq.com

公司地址:广州市花都区新雅街清布辕门街12号1栋312室之一(空港花都)

主页 > 恩湛资讯 > 行业新闻 > ISO/IEC27001:2013信息安全控制措施解析

ISO/IEC27001:2013信息安全控制措施解析

责任编辑:admin 发布时间:2016-06-05 12:11 点击数:

  本文简要介绍了ISO/IEC27001:2013标准附录A中的控制措施,并与ISO/IEC27001:2005中的控制措施进行了对比,总结了变化之处。

  ISO/IEC27001:2013标准保留了ISO/IEC27001:2005中大多数的控制措施,新版标准对2005版中相近或类似的措施进行了整合,删除了部分过时的或太具体的措施。并在控制域的划分、控制项的逻辑结构上做了调整和优化。对一些控制措施的位置进行了移动,相关的项进行了合并,使条款布局更简洁、更合理。ISO/IEC27001:2005标准有11个控制域,39个目标,133个控制措施,ISO/IEC27001:2013标准调整为14个控制域,35个目标,114个控制措施。

  一、控制域的调整

  在2013版中,“A.10密码”和“A.15供应商管理”成为独立的控制域。2005版中的“A.10通信和操作管理”域,在2013版中拆分成了“A.12操作安全”和“A.13通信安全”两个域。2013版中的“A.14系统获取、开发和维护”域是由2005版中的“A.12信息系统获取、开发和维护”域改进而来,控制项设置的逻辑性更合理、更加关注开发过程中的安全,而不是开发过程本身。同样,2005版“A.14业务连续性管理”变为2013版的“A.17业务连续性管理的信息安全方面”,内容上也体现了本标准的本质,关注“业务连续性管理中的信息安全”,而不是“业务连续性管理”。

  二、新版不再保留的控制措施

  表1展示了在2013版中不再保留的ISO/IEC27001:2005控制措施,并对该控制措施不再保留的原因进行简要分析,见表一。

  三、控制措施的变化

  表2将ISO/IEC27001:2013与ISO/IEC27001:2005附录A控制措施的变化进行了说明,包括了新增、合并和移动的部分进行了对照。限于篇幅,对于控制域和实际内容基本无变化的不再加以说明。

  四、结语

  由于时代的局限以及信息技术的飞速发展,ISO/IEC27001:2005版中的控制措施存在的问题,现在看来显而易见。ISO/IEC27001:2013版本的发布及时地解决了该领域咨询与审核工作中的困扰,必将使信息安全管理体系的进一步推广获得便利。


分享到:
返回顶部
展开