安全策略和管理制度VS安全管理制度

新标准将原来的管理制度控制点拆分成了安全策略、管理制度两个控制点，制定和发布、评审和修订要求项进行了合并，层面要求项数由原来的11项调整为7项。控制点要求项数修改情况如下图：

要求项的变化如下：

安全管理机构和人员VS安全管理机构+人员安全管理

新标准将安全管理机构和人员安全管理两个层面合并成了安全管理机构和人员一个层面，减少了人员考核控制点，人员考核要求纳入了网络和安全教育和培训控制点中，加强了外部人员访问管理要求。要求项由原来的35项调整为26项。控制点和控制点要求项数修改情况如下图：

具体要求项的变化如下表：

安全建设管理VS原来系统建设管理

新标准将系统定级和系统备案两个控制点合并为定级和备案控制点，将安全服务商选择控制点修改为服务供应商选择，加强了自行软件开发管理要求。加强了对密码应用的要求，增加了工程实施第三方监理要求，增加了上线前安全测试的要求。要求项由原来的45项调整为34项。控制点和各控制点要求项数修改情况如下图：

具体要求项的变化如下表：

安全运维管理VS原来系统运维管理

新标准新增了漏洞和风险管理、配置管理、外包运维管理三个控制点，减少了监控管理和安全管理中心控制点，原监控管理和安全管理中心的要求纳入了技术层面。设备管理控制点修改为设备维护管理。网络安全管理和系统安全管理控制点合并为网络和系统安全管理控制点。要求项由原来的62项调整为48项。控制点和控制点要求项数修改情况如下图：

具体要求项的变化如下表：