ISO/IEC 27001 Requirements Page 1 / 13
ISO/IEC 27001:2013
Information Security Management System
(Final Draft Internationa...
ISO/IEC 27001 Requirements Page 2 / 13
Requirements – ISO/IEC 27001:2013 Comments
Information technology — Security techni...
ISO/IEC 27001 Requirements Page 3 / 13
4.2 Understanding the needs and expectations of interested parties
The organization...
Upcoming SlideShare
Loading in...5
×

BSi ISO27001 2005 vs 2013 ข้อกำหนด

701

Published on

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
701
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
36
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

BSi ISO27001 2005 vs 2013 ข้อกำหนด

  1. 1. ISO/IEC 27001 Requirements Page 1 / 13 ISO/IEC 27001:2013 Information Security Management System (Final Draft International Standard - FDIS) = Management System = Just for Customer Guide Series Rev.00 Date: 01 Sep 2013
  2. 2. ISO/IEC 27001 Requirements Page 2 / 13 Requirements – ISO/IEC 27001:2013 Comments Information technology — Security techniques — Information security management systems — Requirements 1 Scope This International Standard specifies the requirements for establishing, implementing, maintaining and continually improving an information security management system within the context of the organization. This International Standard also includes requirements for the assessment and treatment of information security risks tailored to the needs of the organization. The requirements set out in this International Standard are generic and are intended to be applicable to all organizations, regardless of type, size or nature. Excluding any of the requirements specified in Clauses 4 to 10 is not acceptable when an organization claims conformity to this International Standard. v2005 ขอ 1.1 General และ 1.2 Application รวมกันเปน v2013 ขอ 1 Scope เนื้อหามีการตัด “operating, monitoring, reviewing” ออกและ เปลี่ยน “improving” เปน ”continually improving (การปรับปรุงพัฒนาอยางตอเนื่อง)” v2005 ในสวน Application พูดถึงวาไมสามารถยกเวนขอกําหนดในขอ 4, 5, 6, 7 และ 8 v2013 เปนมาเปนโครงสรางใหมตาม Annex SL ไมสามารถยกเวนขอกําหนด ขอ 4 ถึง 10 2 Normative references The following documents, in whole or in part, are normatively referenced in this document and are indispensable for its application. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies. ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary v2005 เอกสารอางอิง คือ ISO/IEC 17799:2005 (ISO/IEC 27002:2005) v2013 เอกสารสางอิงเปลี่ยนใหมเปน ISO/IEC 27000 3 Terms and definitions For the purposes of this document, the terms and definitions given in ISO/IEC 27000 apply. v2013 นิยามและคําศัพททั้งหมด ถูกยายไปที่ ISO/IEC 27000 ดังนั้นนิยามและคําศัพท ทั้งหมดที่ใชใน ISO 27000 series จะมีความหมายเปนอันหนึ่งอันเดียวกัน 4 Context of the organization บริบทขององคกร (หัวขอ) 4.1 Understanding the organization and its context The organization shall determine external and internal issues that are relevant to its purpose and that affect its ability to achieve the intended outcome(s) of its information security management system. NOTE Determining these issues refers to establishing the external and internal context of the organization considered in Clause 5.3 of ISO 31000:2009[5]. v2013 ใหม การทําความมเขาใจองคกรและบริบทขององคกร องคกรตองมีการกําหนดประเด็นตางๆทั้งจากภายในและภายนอก ที่มีสวนเกี่ยวของกับ วัตถุประสงคขององคกร ซึ่งมีผลกระทบตอความสามารถขององคกรในการบรรลุเปาหมาย ที่ตั้งไวในระบบบริหารจัดการความปลอดภัยขอมูล องคกรตองจัดทําบริบทที่เกี่ยวของ ทั้งปจจัยภายในและภายนอก ตัวอยาง ดูเอกสาร 4.1 List of internal and external issue
  3. 3. ISO/IEC 27001 Requirements Page 3 / 13 4.2 Understanding the needs and expectations of interested parties The organization shall determine: a) interested parties that are relevant to the information security management system; and b) the requirements of these interested parties relevant to information security. NOTE The requirements of interested parties may include legal and regulatory requirements and contractual obligations. v2013 ใหม การเขาใจความตองการ และความคาดหวังของผูมีสวนไดเสีย องคการตองกําหนด a) ผูมีสวนไดเสีย ที่เกี่ยวของกับระบบบริหารจัดการความปลอดภัยขอมูล และ b) ขอกําหนดขอผูมีสวนไดเสียที่เกี่ยวของกับความปลอดภัยขอมูล หมายเหตุ ขอกําหนดของผูมีสวนไดเสีย อาจหมายรวมถึง กฎหมาย ระเบียบขอบังคับ และ ภาระผูกผันตามสัญญา v2013 องคกรตองจัดทํารายการ:  รายชื่อผูมีสวนเกี่ยวของ ความตองการ และความคาดหวังที่เกี่ยวของระบบบริหารจัดการ ความปลอดภัยขอมูล  รายการขอกําหนด กฏหมายและสัญญาที่เกี่ยวของกับความปลอดภัยขอมูล ตัวอยาง ดูเอกสาร 4.2 List of interest party and requirement 4.3 Determining the scope of the information security management system The organization shall determine the boundaries and applicability of the information security management system to establish its scope. When determining this scope, the organization shall consider: a) the external and internal issues referred to in 4.1; b) the requirements referred to in 4.2; and c) interfaces and dependencies between activities performed by the organization, and those that are performed by other organizations. The scope shall be available as documented information. การกําหนดของเขตของระบบบริหารจัดการความปลอดภัยขอมูล v2005 คือขอ 4.2.1 a) v2013 การกําหนดขอบเขต องคกรตองพิจารณาถึง  ประเด็นภายในและภายนอก ตามที่ระบุไวในขอกําหนด 4.1  ความตองการที่ระบุไวในขอกําหนด 4.2  การเชื่อมโยง และความสัมพันธระหวางกิจกรรมตางๆ ที่ทําในองค และที่ทําโดยองคกร ภายนอก Scope ขอบเขต ตอง จัดทําเปนเอกสาร (documented information) 4.4 Information security management system The organization shall establish, implement, maintain and continually improve an information security management system, in accordance with the requirements of this International Standard. ระบบบริหารจัดการความปลอดภัยขอมูล v2005 เหมือนกันกับขอ 4 Information security management system, 4.1 General Requirements v2013 นั้นไมไดอางถึง PDCA model ให Figure 1 เหมือนเวอรชัน 2005 5 Leadership ภาวะผูนํา (หัวขอ) 5.1 Leadership and commitment Top management shall demonstrate leadership and commitment with respect to the information security management system by: ภาวะผูนําและพันธสัญญา v2013  เปลี่ยนจากคําวา 5 Management responsibility เปน “Leadership” ซึ่งตรง ขอกําหนด 5.1 Management commitment (v2005) แตเวอรชันใหมมีการปรับปรุง
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×