推廣 熱搜： ISO9001 音樂版權知識產權貫標科技服務 CMMI 知識產權 ISO20000 質量管理體系測試標準電池

ISO20000-1:2011標準 6.6信息安全管理

日期：2024-10-31 20:07:58 來源：ISO20000認證作者：中企檢測認證網瀏覽：33 評論：0

核心提示：ISO20000新舊版標準差異概述差異點說明新增部分在信息安全方針的控制上，ISO20000:2011 版新增部分要求。

ISO20000新舊版標準差異概述

差異點	說明
新增部分	在信息安全方針的控制上，ISO20000:2011 版新增部分要求。進一步明確和新增了信息安全方針方面的內容，包括安全需求、法律法規(guī)和合同要求。詳細描述了授權管理者的具體職責，并特別強調了要“定期執(zhí)行信息安全風險評估”的要求。 ISO20000:2011 版新增了服務提供者應對信息安全控制的有效性進行檢查，并采取必要的改進續(xù)措施的要求。 ISO20000:2011 版新增了信息安全風險應進行優(yōu)先級劃分。
優(yōu)化與完善部分	ISO20000:2011 版進一步明確了信息安全應從物理、管理、技術三個維度進行控制。 ISO20000:2011 版對信息安全控制的目標內容進行了細化與擴展。 ISO20000:2011 版進一步細化了評估變更請求的風險與影響的要求。 ISO20000:2011 版明確了信息安全事件應通過事件與服務請求管理程序進行管理。

ISO20000新舊版標準變化度

ISO20000:2011 版本	控制點	ISO20000:2005 版本	控制點	變化度
6.6 信息安全管理	13	6.6 信息安全管理	11	3

說明：變化度是指新版標準該條款相對舊版標準要求的變化程度，按分值計量，5 分指變化程度最大，0 分指沒有變化。

ISO20000新舊版標準差異分析

	ISO20000:2011版		ISO20000:2005版	差異分析
信息安全方針	Management with appropriate authority shall approve an information security policy taking into consideration the service requirements, statutory and regulatory requirements and contractual obligations. Management shall: a) communicate the information security policy and the importance of conforming to the policy to appropriate personnel within the service provider, customer and suppliers; b) ensure that information security management objectives are established; c) define the approach to be taken for the management of information security risks and the criteria for accepting risks; d) ensure that information security risk assessments are conducted at planned intervals; e) ensure that internal information security audits are conducted; f) ensure that audit results are reviewed to identify opportunities for improvement.	具有適當授權的管理者應在考慮服務需求、法律法規(guī)要求和合同要求的基礎上審批信息安全方針。管理者應： a）與服務提供者、客戶和供應商等相關人員溝通信息安全方針和人員遵守方針的重要性； b）確保信息安全管理目標被確立； c）定義信息安全風險管理和風險接受原則所采用的方法； d）確保定期執(zhí)行信息安全風險評估； e）確保執(zhí)行信息安全內部審計； f）確保對審計結果進行回顧以識別改進的機會。	Management with appropriate authority shall approve an information security policy that shall be communicated to all relevant personnel and customers where appropriate.	ISO20000:2011版進一步明確和新增了信息安全方針方面的內容，包括安全需求、法律法規(guī)和合同要求。 ISO20000:2011版新增了授權管理者具體的管理職責，并特別強調了要“定期執(zhí)行信息安全風險評估”。
信息安全控制	The service provider shall implement and operate physical, administrative and technical information security controls in order to: a) preserve Confidentiality, integrity and accessibility of information assets; b) fulfil the requirements of the information security policy; c) achieve information security management objectives; d) manage risks related to information security. These information security controls shall be documented and shall describe the risks to which the controls relate, their operation and maintenance. The service provider shall review the effectiveness of information security controls. The service provider shall take necessary actions and report on the actions taken. The service provider shall identify external organizations that have a need to access, use or manage the service provider's information or services. The service provider shall document, agree and implement information security controls withthese external organizations.	服務提供者應實施和運行物理的、管理的和技術的信息安全控制以： a) 保護信息資產的機密性、完整性和可訪問性； b) 履行信息安全方針的要求； c) 實現(xiàn)信息安全管理目標； d) 管理信息安全相關風險。信息安全控制措施應文件化，同時應描述控制措施相關的風險，以及控制措施的運行和維護。服務提供者應對信息安全控制的有效性進行評估。同時，應采取必要的改進措施，并報告所采取的措施。服務提供者應識別具有訪問、使用或管理服務提供者信息或服務需要的外部組織。服務提供者應記錄、協(xié)商和實施對外部組織的信息安全控制。	Appropriate security controls shall operate to: a) implement the requirements of the information security policy; b) manage risks associated with access to the service or systems. Security controls shall be documented. The documentation shall describe the risks to which the controls relate, and the manner of operation and maintenance of the controls. Arrangements that involve external organizations having access to information systems and services shall be based on a formal agreement that defines all necessary security requirements.	ISO20000:2011版進一步明確了信息安全要從物理、管理、技術三個維度進行控制。 ISO20000:2011版對信息安全控制的目標內容進行了細化與擴展（由2條擴充到4條）。關于信息安全控制措施的文件化方面，新舊版本要求基本一致。 ISO20000:2011版新增了服務提供者應對信息安全控制的有效性進行檢查，并采取必要的改進續(xù)措施的要求。對外部組織的訪問控制方面，新舊版本要求基本一致。
信息安全變更和事件	Requests for change shall be assessed to identify: a) new or changed information security risks; b) potential impact on the existing information security policy and controls. Information security incidents shall be managed using the incident management procedures, with a priority appropriate to the information security risks. The service provider shall analyse the types, volumes and impacts of information security incidents. Information security incidents shall be reported and reviewed to identify opportunities for improvement.	應對變更請求進行評估，以識別： a) 新的或變更的服務的信息安全風險； b) 對現(xiàn)有信息安全方針和控制的潛在影響。信息安全事件應通過事件管理程序進行管理，并對信息安全風險進行適當?shù)膬?yōu)先級排序。服務提供者應分析安全事件的類型、數(shù)量和影響。同時，信息安全事件應被報告和檢查，以識別改進的機會。	The impact of changes on controls shall be assessed before changes are implemented. Security incidents shall be reported and recorded in line with the incident management procedure as soon as possible. Procedures shall be in place to ensure that all security incidents are investigated, and management action taken. Mechanisms shall be in place to enable the types, volumes and impacts of security incidents and malfunctions to be quantified and monitored.	ISO20000:2011版在ISO20000:2005版的基礎上，進一步細化了評估變更請求的風險與影響的要求。 ISO20000:2011版新增了信息安全風險應進行優(yōu)先級劃分的要求。 ISO20000:2011版明確了信息安全事件應通過事件管理程序進行管理。
流程改進	無	無	Actions for improvements identified during this process shall be recorded and provide input into a plan for improving the service.	ISO20000:2005版要求應記錄本流程定義的改進措施，并輸入服務改進計劃，但ISO20000:2011版刪除了此要求。分析原因是：在ISO20000:2011版的引言部分已經明確了“將PDCA方法應用于SMS中，包括服務管理流程和服務”，故在此無需重復要求。

中企檢測認證網提供iso體系認證機構查詢，檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息，中企檢測認證網為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內容整合網站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局、國家認證認可監(jiān)督管理委員會、質量認證中心

免責聲明：本文部分內容根據(jù)網絡信息整理，文章版權歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內容、版權和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202008/ccaa_5664.html

打賞

更多>同類ISO20000認證知識

0 條相關評論

ISO20000認證推薦服務

ISO20000信息技術服務體系

北京信息行業(yè)ISO20000認證信息技術服務管理體系認證特點

ISO20000認證推薦圖文

ISO20000認證材料及認	企業(yè)做ISO20000和ISO2
ISO20000信息技術服務	ISO20000信息技術服務

ISO20000認證推薦知識

ISO20000認證點擊排行

• ISO20000信息技術服務管理之信息技術的內涵	• ISO20000-1:2011標準 7.2 供應商管理
• ISO/IEC20000:2011新版與2005版的變化	• ISO20000-1:2011標準 7.1 業(yè)務關系管理
• ISO20000-1:2011標準 8.2 問題管理	• ISO20000-1:2011標準 4.1 服務管理體系總要求
• ISO20000-1:2011標準 8.1 事件和服務請求管理	• ISO20000-1:2011新版與ISO20000-1:2005舊版控制
• ISO20000 供應商管理	• ISO20000-1:2011標準 9.2 變更管理

成大欧美久久韩一|在线五月天 日韩|超碰97点播放。|久草手机在线看片|久久国产精品99久久久久久老狼|日本天堂一区二区|欧克亚洲美女噜一噜|欧美成人性爱电影|一本大道无码视频|婷婷国产一区二区三区四区

ISO20000-1:2011標準 6.6信息安全管理

成大欧美久久韩一|在线五月天日韩|超碰97点播放。|久草手机在线看片|久久国产精品99久久久久久老狼|日本天堂一区二区|欧克亚洲美女噜一噜|欧美成人性爱电影|一本大道无码视频|婷婷国产一区二区三区四区