新版本同ISO9001:2000(质量管理体系)和ISO14001:1996(环境管理体系)等国际知名管理体系标准采用相同的风格,使信息安全管理体系更容易和其它的管理体系相协调。新版标准的主要更新在于:
PDCA(Plan Do Check Act)的模型;
基于PDCA模型的基于过程的方法;
对风险评估过程、控制选择和适用性声明的内容与相互关系的阐述;
对ISMS持续过程改进的重要性;
文档和记录方面更清楚的需求;
风险评估和管理过程的改进;
对新版本使用提供指南的附录;
新版本在介绍信息安全管理体系的建立、实施和改进的过程中也引用了PDCA模型,按照PDCA模型将信息安全管理体系分解成风险评估、安全设计与执行、安全管理和再评估四个子过程,特别介绍了基于PDCA模型的过程管理方法,并在附录中为解释或采用新版标准提供了指南,如图2所示。组织通过持续的执行这些过程而使自身的信息安全水平得到不断的提高。
新版标准较BS7799-2:1999没有引入任何新的审核和认证要求,新标准完全兼容依据BS7799-2:1999建立、实施和保持的信息安全管理体系(ISMS)。新版标准没有增加任何控制目标和控制方式,所有的控制目标和控制方式都是来自ISO/IEC 1799:2000。只是新版标准将原来BS7799-2:1999的第四部分作为附件A放在了标准后面,而且采用了不同的编号方式将BS7799-2:1999和ISO/IEC 1799:2000结合起来了。
|
