両者の違いは比較的少ないものの、「規格本文」と「付属書A」の以下のポイントが改定されています。
規格本文
記述内容に変更はありませんが、その重要性を考慮した結果、内部監査の項目がマネジメントレビューの章から独立して、単独の章立てとなりました。また、効果のある管理策をとることが重要との背景から、管理策の効果を把握してマネジメントレビューで評価することが追加されました。さらに、リスクアセスメントの手法の文書化が必須となりました。
付属書A(管理目的および管理策)
旧バージョンのISMSにおけるホスト系システムからあまり適用されなかった管理策(ノードの認証、否認防止サービスなど)が削除されました。また、新たに、時代に即して重要となった顧客対応、アクセス権の削除、モバイル、オンライン取引などの項目が追加されました。
| ISO27001 | ISMS ver2.0(旧ISMS) | |
| 追加された管理策 | 削除された管理策 | |
| 情報セキュリティに対する経営陣の責任 | 情報セキュリティ委員会 | |
| 専門組織との連絡 | 専門家による情報セキュリティの助言 | |
| 顧客対応におけるセキュリティ | 外部委託契約におけるセキュリティ要求事項 | |
| 資産の保有者 | ソフトウェアの誤作動の報告 | |
| 資産利用の許容範囲 | 外部委託による施設管理 | |
| 経営陣の責任 | 指定された接続経路 | |
| 雇用の終了または変更に関する責任 | ノードの認証 | |
| 資産の返却 | 利用者を保護するための脅迫に対する警報 | |
| アクセス権の削除 | 暗号化 | |
| 外部および環境の脅威からの保護 | デジタル署名 | |
| 第三者が提供するサービス | 否認防止サービス | |
| 第三者が提供するサービスの監視及びレビュー | ||
| 第三者が提供するサービスの変更に対する管理 | ||
| モバイルコードに対する管理策 | ||
| オンライン取引 | ||
| ログ情報の保護 | ||
| 技術的脆弱性の管理 | ||