1. เปลี่ยนชื่อหัวข้อ
มาตรฐานนี้จะนำคำว่าเทคโนโลยีสารสนเทศ (Information Technology) ออกจากชื่อหัวข้อ และแทนด้วยความปลอดภัยของข้อมูล (Information Security) ความปลอดภัยทางไซเบอร์ (Cybersecurity) และการปกป้องความเป็นส่วนตัว (Privacy Protection)
2. โครงสร้าง
การปรับเปลี่ยนโครงสร้างของมาตรฐาน ซึ่งพยายามนำเสนอด้านการควบคุมในรูปแบบที่เข้าใจง่าย โดยใช้อนุกรมวิธาน (Taxonomy) อย่างง่ายและคุณลักษณะที่เกี่ยวข้อง
3. ตัวควบคุม
จากการเปลี่ยนชื่อหัวข้อและการพัฒนาในด้านการรักษาความปลอดภัยของข้อมูลตั้งแต่ปี พ.ศ.2556 (2013) การเปลี่ยนแปลงที่สำคัญที่สุดก็คือตัวควบคุม โดยมีการรวมตัวควบคุมเข้าด้วยกัน ซึ่งบางส่วนถูกตัดออกและบางส่วนเพิ่มเข้ามาใหม่
3.1 การเปลี่ยนแปลงตัวควบคุม (Control Changes)
3.1.1 จำนวนตัวควบคุม 93 (Number of controls)FDIS ได้ลดจำนวนตัวควบคุมจาก 114 ในมาตรฐาน ISO/IEC 27002:2013
|
3.1.2 หมวดหมู่การควบคุม 4 (Control Categories) การทำโครงสร้าง แบบง่ายเพื่อจัดเตรียมโครงสร้างเฉพาะสำหรับตัวควบคุม
|
ตัวควบคุมใหม่ 11
3.2 คุณลักษณะการควบคุม
ปัจจุบันการควบคุมแต่ละอย่างเชื่อมโยงกับคุณลักษณะทั่วไป 5 ข้อ โดยการใช้ # เพื่อให้สามารถค้นหาได้ อย่างไรก็ตาม หากองค์กรต้องการใช้คุณลักษณะของตนเอง หรือพิจารณาแล้วว่าคุณลักษณะเหล่านี้ไม่มีผลกับพวกเขา ก็สามารถเพิ่มหรือตัดออกได้ตามที่เห็นสมควร
3.2 รูปแบบการควบคุม
รูปแบบการควบคุมมีดังต่อไปนี้:
- หัวข้อการควบคุม (Control title)
- ตารางรายละเอียดของข้อมูล (Attribute table)
- การควบคุม (Control)
- วัตถุประสงค์ (Purpose)
- คำแนะนำ (Guidance)
- ข้อมูลอื่น ๆ (Other information)