ISO27002基础知识

 

ISO/IEC 27002:2005新版标准的主要变化(5)

依据过程导向,调整控制措施(control)结构安排

新版标准(ISO/IEC 27002:2005)考虑过程的方法,将相关控制措施依据过程特性调整结构安排,让新版条款更具结构性与完整性。例如,在旧版标准(ISO/IEC 27002:2000)中,人员安全(Personnel Security)包含3个控制目标,10项控制措施:

  • 6.1工作说明及资源方面的安全
  • 6.1.1工作职责中包含的安全要求
  • 6.1.2人员考察与方针
  • 6.1.3保密协议
  • 6.1.4雇佣条款和条件
  • 6.2用户培训
  • 6.2.1信息安全教育和培训
  • 6.3安全事故和安全故障的反应
  • 6.3.1报告安全事故
  • 6.3.2报告安全薄弱点
  • 6.3.3报告软件故障
  • 6.3.4从事故中吸取教训
  • 6.3.5惩戒过程

    • 从上述控制措施的条款安排中可以发现,旧版标准没有体现人力资源管理的一般过程,结构不合理,内容不完整,实施起来没有条理,与实际的人力资源管理过程脱节。

    新版标准的结构符合人力资源管理的一般过程,结构合理,内容完善,具体如下: