5 組織控制
5.1 資訊安全政策
5.2 資訊安全角色與責任
5.3 職責分離
5.4 管理責任
5.5 與當局的聯繫
5.6 與特殊利益團體的聯繫
5.7 威脅情報 – 新增
5.8 專案管理中的資訊安全
5.9 資訊及其他相關資產清單 – 變更
5.10 資訊及其他相關資產的可接受使用 – 變更
5.11 資產的歸還
5.12 資訊分類
5.13 資訊標籤
5.14 資訊轉移
5.15 存取控制
5.16 身份管理
5.17 認證資訊 – 新增
5.18 存取權限 – 變更
5.19 供應商關係中的資訊安全
5.20 在供應商協議中處理資訊安全
5.21 管理 ICT 供應鏈中的資訊安全 – 新增
5.22 供應商服務的監控、審查和變更管理 – 變更
5.23 使用雲服務的資訊安全 – 新增
5.24 資訊安全事件管理計劃與準備 – 變更
5.25 資訊安全事件的評估與決策
5.26 對資訊安全事件的回應
5.27 從資訊安全事件中學習
5.28 證據收集
5.29 中斷期間的資訊安全 – 變更
5.30 業務持續性所需的 ICT 準備 – 新增
5.31 法律、法規、監管及合約要求的識別
5.32 知識產權
5.33 記錄的保護
5.34 隱私及個人識別資訊的保護
5.35 對資訊安全的獨立審查
5.36 遵守資訊安全政策和標準
5.37 文件化的操作程序
6 人員控制
6.1 背景調查
6.2 雇用條款和條件
6.3 資訊安全意識、教育與訓練
6.4 紀律程序
6.5 終止或變更雇用後的責任
6.6 保密或不披露協議
6.7 遠程工作 – 新增
6.8 資訊安全事件報告
7 物理控制
7.1 物理安全邊界
7.2 物理進入控制
7.3 辦公室、房間及設施的保護
7.4 物理安全監控
7.5 防範物理及環境威脅
7.6 在安全區域內工作
7.7 清理桌面和清理螢幕
7.8 設備放置及保護
7.9 外部資產的安全
7.10 儲存媒介 – 新增
7.11 支援公用設施
7.12 電纜安全
7.13 設備維護
7.14 設備的安全處置或再利用
ISO 27001
8 技術控制
8.1 用戶端設備 – 新增
8.2 特權存取權限
8.3 資訊存取限制
8.4 存取原始碼
8.5 安全認證
8.6 容量管理
8.7 防範惡意軟體
8.8 技術漏洞管理
8.9 配置管理
8.10 資訊刪除 – 新增
8.11 數據掩碼 – 新增
8.12 數據洩漏防護 – 新增
8.13 資訊備份
8.14 資訊處理設施的冗餘
8.15 日誌記錄
8.16 監控活動
8.17 時鐘同步
8.18 使用特權公用程式
8.19 在運行系統上安裝軟體
8.20 網路控制
8.21 網路服務的安全
8.22 網路中的分隔
8.23 網頁過濾 – 新增
8.24 使用加密技術
8.25 安全開發生命周期
8.26 應用安全要求 – 新增
8.27 安全系統架構與工程原則 – 新增
8.29 開發與接受中的安全測試
8.30 外包開發
8.31 開發、測試和生產環境的分離
8.32 變更管理
8.33 測試資訊
8.34 審計和測試期間的資訊系統保護