您现在的位置:首页 > 企业新闻 > 这里跟ISO/IEC 27002: 2005中的A.6.1.3基本一致

这里跟ISO/IEC 27002: 2005中的A.6.1.3基本一致

2018-04-17 11:22:48 | 来源:中培企业IT培训网

237 a set of.

238本条款中,除了policy变成了policies,ISO/IEC 27001:2013和ISO/IEC 27001:2005中的表述几乎一样。

239与ISO/IEC 27001:2005中的描述完全不同,这里要比旧版本明确多了,而且还特意提了“启动”这个事。原文为:To establish a management framework to and control the implementation and operation of information security within the organiza- tion。要注意,不仅仅是“信息安全管理体系”的实施和运行,是“信息安全”的。

240这里跟ISO/IEC 27002: 2005中的A.6.1.3基本一致。但是旧版本没有设计残余风险问题,因为残余风险在ISO/IEC 27001: 2005的正文中专门要求过,在ISO/IEC 27001:2013中则删掉了。因此,ISO/IEC 27002: 2013中专门有:Respon

sibilities for information security risk management activities and in particular for acceptance of residual risks should be defined (信息安全风险管理活动的责任尤其是残余风险的接受宜被确定)。

241分割用的是:Segregation,这个条款在ISO/IEC 27001:2005中为A.10.1.3,被列入通信与操作管理中。责任分割,貌似是操作的事,其实最本质的还是责任问题。责任分割不仅能防止对组织资产的蓄意滥用,也能防止误用的风险(Segregation of duties is a method for reducing the risk of accidental or deliberate misuse of an organization's assetS).

242此处原文为:Conflicting duties and areas of responsibility shall be segregated to reduce opportunities for unauthorized or unintentional modification or misuse of the organization's assetS。

243本文的原文为:contact with authority,和ISO/IEC 27002:2005保持了一致。在GB/T 22080-2008 /ISO/IEC 27001:2005中翻

译为“与政府部门的联系”,一般而言,一般情况下the authority才专门指政府或政府部门。所有的有支配力的人或者集团、当局、官方等都可以称为authority。尤其是在中国的情境中,更不能将这个范围缩小为政府机构,例如,供电、保险和银行等都是垄断性国企,和政府差不多,倒不如直接理解为“权力部门”。在ISO/IEC 27002: 2013中提到过的权利部门。

标签: 信息安全

预约领优惠