ISO27001与ISO20000的关系

《ISO/IEC 27001:2005》。

　　范围和界线

　　在执行信息安全管理体系的时候，组织所要做的件事就是定义ISMS的范围。现在要求组织定义ISMS的范围和界线[4.2.1 a]，包括被排除在范围外的详细说明及理由。尽管富有经验的BSI审核员在评估过程中也会寻找这些东西，但是现在把这个要求加到标准中了，如果组织打算超越根据2002版标准取得的认证而达到新标准的要求，就必须把这个要求考虑在内。

　　评估风险

　　该的基础是：信息的保护是基于业务信息的风险，该风险能促使组织运用合适的措施来保护业务的安全。很少有业务信息会暴露在多种风险之下，因此太多的安全措施可能使公司花费过多的成本。

　　标准的一个重大改变是组织现在需要详细说明（并文件化）风险评估的步骤[4.2.1 c]，这也意味着挑选并文件化风险评估方法将会使风险评估“产生可比较、可重复的结果” [4.2.1 c 和 4.3.1 d]。目前已通过BS 7799-2:2002认证的组织不会把这点看成一个比较大的变化，因为在评估过程中已经考虑过它了。打算通过BS 7799-2:2002认证的组织可能会把它看成该的新要求。

　　风险评估按照计划的时间间隔[4.2.3 d]进行复查，对风险评估和风险处理计划[7.3 b]的更新进行复查管理已经是标准的要求。这个要求必须作为组织信息安全管理体系的管理复查的一部分[7.1]，至少一年完成一次。

　　在对BS 7799-2:2002版标准进行审核的过程中，审核员应该根据ISMS的方针和目标[4.3.1]，寻找所选择的控制措施与风险评估结果和风险处理程序之间的关系。尽管BS 7799-2:2002标准提到过这点，但现在已经在中阐明了。想获得BS 7799-2:2002认证的组织可以把它看作的新要求。

　　合同责任

　　除了法律法规的要求，该还特别强调在所有ISMS所有过程中的合同责任，包括风险评估、风险处理、控制选择、记录控制、资源、ISMS的监视和复查、以及文件要求。