27001：2013浅析讲解.pptVIP

* 用户、认证机构、认可机构、科技发展、环境变化等引发变更 * ISO9001 ISO14001 ISO45001 ISO22301 变化，操作，企业的要求 和谐、整合、一致性 顶层、通用核心、特定化文本 * 删减附录B/C，拆解4.2子PDCA，融入大PDCA * TOP MANAGEMENT * 第4章提供所有相关背景信息的输入，与第5章方针目标的一致性更利于评价 * 原4.2.3被整合 * 安全方针/策略的翻译 Information security policy-policies 控制目标39--35 ISO27001:2013浅析 2014年4月23日 Contents 标准改版背景 1 新版标准内容 2 认证转换时间 3 企业转版应对 4 ISO27001历史沿革 转版转版框架性依据及参考框架性依据及参考 NGS ISO GUIDE 83 ANNEX SL ISO27001 2013 SD3 WWW.JTC1SC27.DIN.DE/SBE/WG1SD3 NGS-MSS 修订版亮点--新标准结构 结构调整 新标准正文结构章节对应 新旧对照 完整对照 27001: 2005 (旧版) 27001: 2013 (新版) 引言 范围 规范性参考文件 术语及定义 组织的环境 领导力 规划 支持 运行 绩效评价 改进 附录 A (规范性) 控制目标及控制措施 引言 范围 规范性参考文件 术语及定义 信息安全管理体系 管理层责任 内部ISMS 审计 管理评审 ISMS 改进 附录 A (规范性) 控制目标及控制措施 附录 B (informative) OECD 原则及该国际标准 附录 C (informative) ISO 9001:2000 与 ISO 14001:2004 关联性及该国际标准 正文章节变化 正文章节变化 变化亮点提示 控制措施 的调整 体系化管 理的需求 正文内 容调整 风险管 理框架 更通用、更顶 层的架构理念 核心变化 内容、层次及结合框架变化 背景需求 内部 外部 需求与期望 内部问题 组织 业务 资产 流程 规程 外部问题 用户 客户 股东 政府 合作方 风险 机遇 体系化管理需求 相关方要求的引入 可以考虑更多 股东 政府 客户 合作方 风险管理 原有要素的删除 风险责任人出现 风险处置选项的删减 控制措施的比较而非选择 取消RA方法的推荐 更加灵活的管理过程 ISO31000 内容及层次整合 文件化信息 注重强调实际的控制证据 强制文档被取消 文件控制程序 记录控制程序 其他强制控制程序 总则 创建和更新 文件化信息的控制 信息安全目标与绩效评价 9.1 监视、测量、分析和评价 9.2 内部审核 9.3 管理评审 6.2 信息安全目标和规划实现 沟通—新增内容 方式及结果 职责及权限 时间及条件 对象及内容 影响沟通的过程 跟谁及由谁进行沟通 什么时候沟通 沟通什么 针对改进的有关调整 适宜性 充分性 有效性 不符合 纠正 纠正措施 * 用户、认证机构、认可机构、科技发展、环境变化等引发变更 * ISO9001 ISO14001 ISO45001 ISO22301 变化，操作，企业的要求 和谐、整合、一致性 顶层、通用核心、特定化文本 * 删减附录B/C，拆解4.2子PDCA，融入大PDCA * TOP MANAGEMENT * 第4章提供所有相关背景信息的输入，与第5章方针目标的一致性更利于评价 * 原4.2.3被整合 * 安全方针/策略的翻译 Information security policy-policies 控制目标39--35