1 ISO27001的发展
2 ISO27001正文结构
3 ISO27001 2013版与2005版的差异
4 ISO27001的P-D-C-A
2005年10月BS-7799-2:2002通过国际ISO组织认可,正式成为ISO27001:2005ISO17799:2000修订成为ISO27002:2005
管理体系标准新结构和格式
化组织对管理体系标准在结构、格式、通用短语和定义方面进行了统一。这将确保今后编制或修订管理体系标准的持续性、整合性和简单化,这也将使标准更易读、易懂;
所有管理体系标准将遵循ISO SupplementAnnexSL的要求,以便整合其他标准文件中的不同主题和要求,如:统一定义,如:组织、相关方、方针、目标、能力、符合性
统一的表述,如:Zui高管理者应确保组织内的职责、权限得到规定和沟通
4.组织背景(或环境)
4.1 理解组织及其背景
4.2 理解相关方的需求和期望
4.3 确定ISMS的范围
4.4 ISMS
4.1 理解组织及其背景
组织应确定与其意图相关并影响其实现信息安全管理体系预期结果能力的外部和内部情况。
内部环境
治理、组织架构、角色与职责; 方针、目标、以及达成目标所采用的策略;
组织拥有的资源与能力 (如资产、时间、人力、流程、系统及技术);
与内部利益相关方的关系以及他们的认识/价值观;
组织的企业文化;
组织的信息系统、信息流、决策过程(正式与非正式);
组织采用的任何标准、指南和模型 ;
契约关系与安排的形式和程度