ISO/IEC 27001信息安全管理体系认证的控制措施

  是一份指导性文件，旨在用作在实施基于ISO/IEC 27001的信息安全管理体系（ISMS）时选择控制措施的参考，或作为组织实施信息安全控制措施的指南。自去年开始，ISO/IEC JTC 1/SC27已对现时的ISO/IEC 27002:2013版本进行评审，目前处于DIS（国际标准草案）阶段。尽管部分控制措施保持不变，但控制措施布局和某些控制措施却发生了重大变化。由于ISO/IEC 27001:2013的附录A旨在与ISO/IEC 27002保持一致，因此，ISO/IEC 27001附录A将在ISO/IEC 27002完成评审后进行修订。
  一、控制措施数量

  DIS版本有93个控制措施，而2013版本则有114个控制措施。

  二、控制措施类别
  控制措施重新分组为4个类别，而不是2013年版本的14个类别。新的控制措施布局有助管理层在领导组织提升信息安全时分配职责。
  组织控制、人员控制、物理控制、技术控制
  三、新的控制措施
  因为科技发展和企业实践的变化，DIS版本加入了12个新的控制措施。
  1、回应持续变化的科技应用和数据保护趋势
  2、纳入敏感数据保护的控制措施
  3、确认科技在保持企业回弹力的重要作用
  4、其它新的控制措施
  四、16个控制措施被移除
  五、修改的控制措施
  将类似的控制措施整合在一起，成为一个主要措施。