ISO/IEC 27001认证辅导--ISO/IEC 27001:2013信息安全控制措施解析

      本文简要介绍了ISO/IEC27001:2013标准附录A中的控制措施，并与ISO/IEC27001:2005中的控制措施进行了对比，总结了变化之处。

ISO/IEC27001:2013标准保留了ISO/IEC27001:2005中大多数的控制措施，新版标准对2005版中相近或类似的措施进行了整合，删除了部分过时的或太具体的措施。并在控制域的划分、控制项的逻辑结构上做了调整和优化。对一些控制措施的位置进行了移动，相关的项进行了合并，使条款布局更简洁、更合理。ISO/IEC27001:2005标准有11个控制域，39个目标，133个控制措施，ISO/IEC27001:2013标准调整为14个控制域，35个目标，114个控制措施。

一、控制域的调整

在2013版中，“A.10密码”和“A.15供应商管理”成为独立的控制域。2005版中的“A.10通信和操作管理”域，在2013版中拆分成了“A.12操作安全”和“A.13通信安全”两个域。2013版中的“A.14系统获取、开发和维护”域是由2005版中的“A.12信息系统获取、开发和维护”域改进而来，控制项设置的逻辑性更合理、更加关注开发过程中的安全，而不是开发过程本身。同样，2005版“A.14业务连续性管理”变为2013版的“A.17业务连续性管理的信息安全方面”，内容上也体现了本标准的本质，关注“业务连续性管理中的信息安全”，而不是“业务连续性管理”。

二、新版不再保留的控制措施

表1展示了在2013版中不再保留的ISO/IEC27001:2005控制措施，并对该控制措施不再保留的原因进行简要分析，见表一。

三、控制措施的变化

表2将ISO/IEC 27001:2013与ISO/IEC 27001:2005附录A控制措施的变化进行了说明，包括了新增、合并和移动的部分进行了对照。限于篇幅，对于控制域和实际内容基本无变化的不再加以说明。

四、结语

由于时代的局限以及信息技术的飞速发展，ISO/IEC 27001:2005版中的控制措施存在的问题，现在看来显而易见。I S O/I E C27001:2013版本的发布及时地解决了该领域咨询与审核工作中的困扰，必将使信息安全管理体系的进一步推广获得便利。