ISO-27001信息安全新舊標準對照

ISO27001新舊版附錄對照27001:202227001:2013備注A.5組織控制A.5.1信息安全策略A.5.1.1信息安全方針和策略A.5.2信息安全角色和職責A.6.1.1信息安全角色和職責A.5.3職責分離A.6.1.2責任分割A.5.4管理職責A.7.2.1管理職責A.5.5與職能機構的聯(lián)系A.6.1.3與政府部門的聯(lián)系A.5.6與特定相關方的聯(lián)系A.6.1.4與特定相關方的聯(lián)系A.5.7威脅情報A.5.8項目管理中的信息安全A.6.1.5項目管理中的信息安全A.5.9信息及其他資產(chǎn)清單A.8.1.1資產(chǎn)清單A.5.10信息和其他相關資產(chǎn)的可接受使用A.8.1.3資產(chǎn)的可接受使用A.5.11資產(chǎn)歸還A.8.2.4資產(chǎn)的歸還A.5.12信息的分級A.8.2.1信息的分類A.5.13信息的標記A.8.2.2信息的標記A.5.14信息傳輸A.13.2信息傳輸A.5.15訪問控制A.9.1.1訪問控制策略A.5.16身份管理A.9.2.1用戶注冊和注銷A.5.17鑒別信息A.9.2.4用戶的秘密鑒別信息管理A.5.18訪問權限A.9.2.2用戶訪問配置A.9.2.5用戶訪問權限復查A.9.2.6訪問權限的移除或調(diào)整A.5.19供應商關系的信息安全A.15.1.1供應商關系的信息安全策略A.5.20在供應商協(xié)議中強調(diào)信息安全A.15.1.2處理供應商協(xié)議的安全問題A.5.21ICT(信息與通信技術)供應鏈中的信息安全管理A.15.1.3信息和通信技術供應鏈A.5.22供應商服務的監(jiān)視、評審和變更管理A.15.2.1供應商服務的監(jiān)視和評審A.15.2.2供應商服務的變更管理A.5.23云服務使用中的信息安全A.5.24信息安全事件管理的策劃和準備A.16.1.1職責和規(guī)程A.5.25信息安全事態(tài)的評估和決策A.16.1.4評估和確定信息安全事態(tài)A.5.26信息安全事件的響應A.16.1.5信息安全事件響應A.5.27從信息安全事件中的學習A.16.1.6對信息安全事件的總結A.5.28證據(jù)的收集A.16.1.7證據(jù)的收集A.5.29中斷期間的信息安全A.17.1信息安全的連續(xù)性A.5.30關于業(yè)務連續(xù)性的ICT準備A.5.31法律法規(guī)、監(jiān)管和合同要求A.18.1.1可用法律及合同要求的識別A.5.32知識產(chǎn)權A.18.1.2知識產(chǎn)權（IPR）A.5.33記錄保護控制A.18.1.3保護記錄A.5.34隱私和PII(個人可識別信息)的保護A.18.1.4隱私和個人身份信息保護A.5.35信息安全的獨立評審A.18.2.2技術符合性評審A.5.36符合信息安全的策略、規(guī)則和標準A.18.2.1符合安全策略和標準A.5.37文件化的操作規(guī)A.12.1.1文件化的操作規(guī)程A.6人員控制A.6.1審查A.7.1.1審查A.6.2任用條款及條件A.7.1.2任用條款及條件A.6.3信息安全意識、教育和培訓A.7.2.2信息安全意思、教育和培訓A.6.4違規(guī)處理過程A.7.2.3紀律處理過程A.6.5任用終止或變更后的責任A.7.3.1任用職責的終止或變更A.6.6保密和不泄露協(xié)議A.13.2.4保密或不泄漏協(xié)議A.6.7遠程工作A.6.2.2遠程工作A.6.8信息安全事態(tài)報告A.16.1.2報告信息安全事態(tài)A.7物理控制A.7.1物理安全邊界A.11.1.1物理安全邊界A.7.2物理入口A.11.1.2物理入口控制A.7.3辦公室、房間和設備的安全保護A.11.1.3辦公室、房間和設備的安全保護A.7.4物理安全監(jiān)視A.7.5物理和環(huán)境威脅的安全防護A.11.1.4外部和環(huán)境威脅的安全防護A.7.6在安全區(qū)域工作A.11.1.5在安全區(qū)域工作A.7.7清理桌面和屏幕A.11.2.9清空桌面和屏幕策略A.7.8設備安置和保護A.11.2.1設備安置和保護A.7.9組織場所外的資產(chǎn)安全A.11.2.6組織場所的設備與資產(chǎn)安全A.7.10存儲介質A.8.3介質處理A.7.11支持性設施A.11.2.2支持性設施A.7.12步纜安全A.11.2.3布纜安全A.7.13設備維護A.11.2.4設備維護A.7.14設備的安全處置或再利用A.11.2.7設備的安全處置或再利用A.8技術控制A.8.1用戶終端設備A.8.2特許訪問權A.9.2.3特殊訪問權限管理A.8.3信息訪問限制A.9.4.1信息訪問限制A.8.4對源代碼的訪問A.9.4.5程序源代碼的訪問控制A.8.5身份驗證安全A.8.6容量管理A.12.1.3容量管理A.8.7惡意軟件防范A.12.2惡意代碼防范A.8.8技術脆弱性管理A.12.6技術脆弱性管理A.8.9配置管理A.8.10信息刪除A.8.11數(shù)據(jù)屏蔽A.8.12防止數(shù)據(jù)泄漏A.8.13信息備份A.12.3.1信息備份A.8.14信息處理設施的冗余A.17.2.1信息處理設施的可用性A.8.15日志管理A.12.4.1事態(tài)日志A.12.4.2日志信息的保護A.12.4.3管理和操作員日志A.8.16監(jiān)視活動A.8.17時鐘同步A.12.4.4時鐘同步A.8.18特許權使用程序的應用A.9.4.4特權實用程序的實用A.8.19運行系統(tǒng)的軟件安裝A.12.5.1運行系統(tǒng)的軟件安裝A.8.20網(wǎng)絡安全A.13.1.1網(wǎng)絡控制A.8.21網(wǎng)絡服務安全A.13.1.2網(wǎng)絡服務的安全A.8.22網(wǎng)絡隔離A.13.1.3網(wǎng)絡隔離A.8.23網(wǎng)站過濾A.8.24密碼使用A.10.1密碼控制A.8.25開發(fā)生命周期安全A.14.2.6安全的開發(fā)環(huán)境A.8.26應用程序安全要求A.14.1信息系統(tǒng)的安全要求A.8.27安全系統(tǒng)架構和工程原則A.14.2.5安全的系統(tǒng)工程原則A.8.28安全編碼A.8.29開發(fā)和驗收中的安全測試A.14.2.8系統(tǒng)安全測試A.14.2.9系統(tǒng)