BS7799部分2：2002（條款號）

ISO/IEC 27001:2005（條款號）

變化和差異的注解

1.2應用

1.2應用

確定對ISO/IEC 27001條款4-8的刪減都是不可接受的，解釋在何種情況下對控制進行了刪減是可能的。

3術語和定義

3術語和定義

從ISO/IEC 13335-1：2004，ISO/IEC TR 18044：2004和ISO/IEC指南73:2002中添加定義。
改變部分現(xiàn)有定義以配合ISO/IEC 13335-1：2004標準。重新明確定義了“風險處理”和“適用性聲明”。

4.2.1建立ISMS項目a)定義ISMS的范圍

4.2.1建立ISMS
項目a)定義ISMS的范圍和界線

現(xiàn)在,定義了ISMS的“范圍和界線”的要求。要求包括：1、說明在范圍內的部分2、解釋被排除在范圍外的理由。

項目c)定義風險評估的系統(tǒng)方法

在項目c)中的第二句“定義組織的風險評估方法”被刪除后新增了一條。

新增一條對現(xiàn)有的要求進行闡明和補充。
同時聲明風險評估方法應產(chǎn)生可比較、可重復的結果。

項目g)為風險處理選擇控制目標及控制。

項目g)“為風險處理選擇控制目標及控制”已經(jīng)被延伸了。

現(xiàn)有的要求加上了這樣的闡釋：選擇應該考慮到在法律、法規(guī)及合同的要求范圍內接受風險的標準。

項目h)準備適用性聲明。

項目j)添加了新項目j)2)“準備適用性聲明”。

闡明了現(xiàn)有關于適用性聲明的要求。
現(xiàn)在強調它要包括當前實施的控制目標及控制。

4.22實施和運作ISMS

4.22實施和運作ISMS
新增項目d)定義如何測量有效性。

這可能是實施和運作ISMS過程中最大的改變，要求定義如何測量控制及控制組合的有效性，要求詳細列出測量方法使控制效果評估產(chǎn)生可比較、可重復的結果。

4.2.3監(jiān)控和評審ISMS
項目a)執(zhí)行監(jiān)控程序及其它的控制。

4.2.3監(jiān)控和評審ISMS
項目a) 4)添加了“執(zhí)行監(jiān)控程序及其它的控制以探測安全事件”。
項目c)添加了“測量控制的效力”。

闡明了有助于預防安全事故的安全事件探測。
包括使用指標。

項目c)評審剩余風險和可接受風險。

新增項目d) 5)按計劃的時間間隔評審風險評估，評審剩余風險和可接受風險，評審時要考慮現(xiàn)行控制的有效性的變化。
新增項目g)更新安全計劃

與4.2.2.d結合以監(jiān)控ISMS的效力。
現(xiàn)有要求的闡述，幫助監(jiān)測現(xiàn)行控制的效果。
闡述和補充了以下要求:根據(jù)監(jiān)控評審活動的發(fā)現(xiàn)來監(jiān)控評審ISMS以更新安全計劃的要求。

4.31概要

4.31概要第一段

闡明：文件要包括管理決策的記錄，活動要根據(jù)管理決策和方針進行，記錄/結果是可重復的。

第二段

新增一句說明所選擇的控制與風險評估和風險處理過程的關系，以及與ISMS方針和目標的關系。

新增項目d)風險評估方法的描述

風險評估方法的描述要包含在文件中。

項目e)文件化的程序

項目g)“文件化的程序”已經(jīng)被更新了

闡明并補充了描述如何測量控制的有效性的要求。

4.3.2文件控制

4.3.2文件控制
新增項目f)確保文件是可用的

闡述了確保使用者可以獲得所需文件的要求，及文件的轉移存儲和最終處置要按照合適的等級來處理。

5.1管理承諾

5.1管理承諾
新增項目g）保證ISMS內部審核得到管理。

在管理承諾中聲明確保ISMS內部審核得到管理。

條款6.1到6.3

條款7.1到7.3

移動的章節(jié)

條款7.1到7.3

條款8.1到8.3

移動的章節(jié)

6.2評審輸入

7.2評審輸入
新增項目f)有效性測量的結果

移動的章節(jié)
新增了有效性測量的結果。

6.3評審輸出

7.3評審輸出
新增項目b）更新風險評估和風險處理計劃。

移動的章節(jié)
闡明確保更新風險評估和風險處理計劃。

項目c)必要時，修改影響信息安全的程序，以響應對ISMS造成影響的內外事件。

項目c)必要時，修改影響信息安全的程序和控制，以響應對ISMS造成影響的內外事件。包括合同責任的改變。

闡明包括合同責任的改變。

新增項目e)改進控制有效性的測量方法。

加進了“改進控制效力的測量方法?！钡穆暶鳌?/p>

6.4 ISMS內部審核

6.4ISMS內部審核

現(xiàn)在是第六章的唯一要求。

7.3預防措施

8.3預防措施
項目8.3b)“評估采取措施預防不符合發(fā)生的必要性”

移動的章節(jié)
闡明預防措施。評估采取措施預防不符合發(fā)生的必要性

附錄A

附錄A

根據(jù)ISO/IEC 17799:2005的修訂版本更新附錄A

附錄B和表B1

附錄B

除了說明OECD原則和本國際標準之間的關系的表格外，其他被刪除。刪除的部分可能被ISO/IEC作為發(fā)展成新指南的基礎。

附錄C

附錄C

更新后的版本

附錄D

從ISO/IEC 27001:2005版本中刪除。