新标准的正式标题是::《BS 7799-2:2005 (ISO/IEC 27001:2005)信息技术-安全技术-信息安全管理体系-要求》这意味着它不仅仅是IT标准,标题中的“信息技术-安全技术”表明它还是以ISO委员会(JTC1/SC27)的名义发表的。

该标准的焦点还是放在贯穿组织的信息安全管理上。

尽管大部分控制在实际中会在IT部门或IT组织内部实现,但总体上标准执行的重点仍应放在业务信息的风险上。

标准的主要改变在于它现在是国际公认的,这意味着除了英国标准的国际认可,组织可以构建一个全球性的框架来管理他们的信息安全。

不管是为了组织自身的商业信息,如财政信息,知识产权,职员资料等等,或者是客户或第三方与组织间沟通的信息,标准都是适用的。

实际上,它是组织能够对他们的信息安全管理系统进行客观独立评估的唯一国际标准。

新版的国际标准已经有一系列更新来阐明巩固原始英国标准——BS 7799-2:2002的要求。

这些更新主要集中在以下范围:风险评估、合同责任、范围、管理决策以及所选控制措施有效性的测量等。

对于采用BS7799-2:2002的组织来说,新版的国际标准并没有太大的影响。

最大的影响就是要求对所选的控制措施或控制措施组合的有效性进行测量。

(详见ISO/IEC 27001:2005的4.2.2 d)

下面是该标准重大改变的解释概要。

附录A是一个显示BS 7799-2:2002和 ISO/IEC 27001:2005之间的变化的表格。

《ISO/IEC 27001:2005》。

在完成现状调查与风险评估工作之后,组织 要根据已确立的信息安全方针的总体要求与信息安全管理体系 范围、风险评估的结果,明确组织信息安全结构与职责、选择控制目标与控制方式、编写风险处理计划和控制概要、制定业务持 续性计划。

组织信息安全结构与职责

组织信息安全结构确定是实施信息安全管理体系的基础与组织 安全的保证,在职责划分和编写体系文件之前,必须先进行职能分析和确定组织结构。

在确定组织结构时,要坚持精简高效的原则, 尽量避免部门职能的交叉,调整组织的原有管理体系的组织结构使其适应信息安全管理体系标准中的管理需求;结合组织的类型、规 模及特点,设置管理体系运行的管理部门,使其负责管理体系的建立、实施、协调及监督管理,不断地发现管理体系运行中的问题, 以便及时调整、改进。

选择控制目标与控制方式

组织应根据风险评估的结果,并考虑控制 费用与风险平衡的原则,选择适合组织的控制目标与控制方式。

编写控制概要

控制概要中应对根据风险评估结果选择的控制目标与控制方式进行详细的说明。

制定业务持续性计划

为降低信息安全事件或自然灾害对组织业务持续性的影响,组织应在 风险评估的基础上编制业务持续性计划并保持计划的有效性。