5.1.1 情報セキュリティ基本文書

情報セキュリティ基本方針文書は関連する外部組織へ公表することとなった。

5.1.2 情報セキュリティ基本方針のレビュー

タイトルが「情報セキュリティ基本方針のレビュー（見直し）」となり、より具体的になった。

6.1.1 情報セキュリティに対する経営陣の責任

情報セキュリティに関する方向付けやリソースの配分が、情報セキュリティ委員会から経営陣の役割となった。

6.1.2 情報セキュリティの調整

委員会の利用がなくなり、関連する役割を持った組織の異なる部門の代表者が調整することとなった。

6.1.5 秘密保持契約

秘密保持・守秘義務に関する項目が追加された。

6.1.6 関係当局との連絡

旧基準では、組織間の協力として行政機関もサービス提供者も1つの項目で定義されていたが、「6.1.6 関係当局と連絡」「6.1.7 専門組織との連絡」と2つに分離した。

6.1.6 情報セキュリティの独立したレビュー

レビューする内容（管理策、基本方針など）とタイミング（計画した間隔、重大な変更など）が記載追加された。

6.2.1 客対応におけるセキュリティ対処

組織の情報や資産に対して、顧客がアクセスする場合のセキュリティ要求に対処することとなった。

7.1.2 資産の保有者

情報資産の保有者を明確にすることが追加となった。本編の4.2.1でも要求されている。

7.1.3 資産利用の許容範囲

情報資産の利用範囲を規定し、文書化することを要求している。

8.1.1 役割及び責任

旧基準の6.1.1では従業員だけであったが、請負業者なども含まれることになった。

8.1.3 雇用条件

旧基準「6.1.3 秘密保持契約」はここに含まれるようになった。

8.2.1 経営陣の責任

経営陣から従業員などへ情報セキュリティの基本方針などを適用するように求めている。

8.3.1 雇用終了時の責任

雇用の終了や変更時の責任を明確にすることとなった。

8.3.2 資産の返却

雇用期間の終了時には情報資産を返却することが明示された。

8.3.3 アクセス権の削除

旧基準では「9.2.1 利用者登録」で登録の削除を求めていたが、ここでは雇用期間終了時にアクセス権を削除することが求められた。

9.1.4 外部及び環境の脅威からの保護

地震や火災などの対策が求めらた。

10.2 第三者が提供するサービスの管理

旧基準「8.1.6 外部委託による施設管理」がなくなり、その内容の一部がこの分類として以下のような項目として規定された。

10.2.1 第三者が提供するサービス

10.2.2 第三者が提供するサービスの監視及びレビュー

10.2.3 第三者が提供するサービスの変更に対する管理

10.4.2 モバイルコードに関する管理策

モバイルコードは、セキュリティ基本方針にしたがって運用されることが要求された。モバイルコードとはインターネットなどを介して送られる、あるいはダウンロードされて実行されるプログラムを一般的に指す。

10.8.1 情報交換の方針及び手順

旧基準「8.7.7 情報交換のその他の方式」では、音声・映像・FAXなど情報交換の方式を限定していたが、すべてのタイプの情報交換方式と要求事項が厳しくなっている。

10.8.4 電子的メッセージ通信

旧基準「8.7.4 電子メールのセキュリティ」では、電子メールに限定されていたが、そのほかの情報交換の方式についても要求されている（IPメッセンジャーなども相当すると思われる）。

10.9.2 オンライン取引

オンライン取引にかかわる情報の保護が求められるようになった。

10.10 監視

ログや記録に関する項目が1つの領域にまとめられた。

10.10.3 ログ情報の保護

ログ設備とログ情報は、不正な書き換えや許可されていないアクセスから保護することが要求された。

10.10.4 管理者及び運用担当者の記録

旧基準「8.4.2 運用の記録」では、運用担当者の記録をとることが明示されていたが、新しい基準ではシステム管理者の作業記録もとることが明示された。