易整合:以前各管理系統對管理制度面的要求有不太一致的描述方式�,且章節不一。例如管理制度的PDCA(Plan�,Do,Check��,Act)、政策與支持等管理制度面要求不同��。在新版當中采取Annex SL做結構性要求,讓不同管理系統易于接軌����、整合���。Annex SL的結構是ISO組織未來所有管理制度制定時的重要依據���,目前已經有ISO 22301(前BS 25999營運持續管理系統)和這次的ISO 27001新版都已采此結構進行調整����。預計已頒布的標準如ISO9000/ ISO20000未來的改版也將以相同的思路進行調整。
新要求:ISO 27001:2005原本有11個領域(domain)�����、133項控制措施�����,新版DIS目前調整為14個領域(A.5-A.18)、113個控制措施(未來仍可能有改動)。新增的領域是將原分散在各領域中的部分控制目標級別提升���,組成新領域,如加密與供應鏈管理因其重要性而被立出來成為新領域����;或是將原有領域分拆���,如將通訊與作業管理分開成兩個立的領域�,以反映目前信息安全的發展趨勢。而控制措施的減少則是通過合并重復的項目來進行�����,像變更管理在不同的領域中有重復就予以合并����。也有新增的控制項目比如對智能型裝置的管理、強化ICT供應鏈的委外管理���、以及系統開發項目管理的信息安全要求等。
信息安全風險評估:組織應確定如何確定其信息安全風險評估和處置過程的可靠性�。信息安全風險處理:適用時���,組織應調整信息安全風險評估和處置過程����,以及采用的方法�,以改善過程的可靠性�。保留附錄A控制措施與控制目標新版ISO27001依然會保留SOA和附錄A控制目標、控制措施的架構�����;因此���,毫無疑問���,ISO27001的新版修訂一定會與ISO27002的修訂同步進行����。
