Információbiztonság irányítási rendszer (IBIR)
Változás:
4.2. gyakorlati változás nincs, de pontosabb a megfogalmazás.
4.4. folyamatok és kapcsolatok kiemelésre került.
5.1. megjegyzés: a core bussines-re kell fókuszálni.
5.3. kommunikáció a szervezeten belül (ki lett emelve).
6.1.1. a kockázatmenedzsment végén a kockázatkezelésben van hangsúlybeli változás.
6.1.3. változás:
Eddig az „A” mellékletre (alkalmazhatósági nyilatkozatra) úgy utalt, mint egy teljességi követelménylista, aminek meg kell felelni.
Most azonban az „A” melléklet a kockázatszemléletű gondolkodás alapján nem kötelező, hanem csak lehetséges listája a szabályozásnak!
Korábban: 114 konkrét pont volt.
Most: 93 lehetséges pont van. Azaz ajánlást ad, de gondolkodni kell (javasolt).
6.2. kiegészült a felügyelettel és hogy elérhető legyen dokumentált információként
6.3. új fejezet:
Az irányítási rendszer változtatásainak tervezéséről szól.
8.1. (Operational planning and control) megfogalmazásban változás:
– 6. fejezetre általánosan utal vissza
– folyamatparamétereket KELL meghatározni
– ellenőrzés a folyamatparaméterek nyomonkövetéséhez is kell
9.1. változás:
Eddigi megjegyzés helyett a folyamatok teljesítménymérése kötelezővé vált.
9.3. változás: eddigi 2 helyett 3 részre lett felosztva, és egy többletkérdés: az érdekelt felek igényeinek változását is kell értékelni.
- Fejezet változás: a 10.1. és 10.2. megcserélődött.
„A” mellékelt változásai (alkalmazhatósági nyilatkozathoz)
„A” mellékeltben történt az igazi változás (vs. ISO/IEC 27002, mint forrás)