ISO27001信息安全管理和内控体系

　ISO27001信息安全管理和内控体系是个交集，关于两者的不同点，考虑了一些，如下：
　　 1、目的和关注点不同，内控涉及的信息系统范围和内容比安全管理体系(ISO27001)小。
　　 安全管理依据ISO27001是国际标准，是为了保障组织系统安全，关注整体信息系统的完整性、保密性、可用性。

　　 内控是为了满足美国证监会对上市公司财务报表数据真实性的要求，主要是针对与财务相关的系统，关注点在数据的真实性。

　　 安全管理主要涉及内容：
　　 ★信息安全方针
　　 ★组织安全
　　 ★资产分类管理
　　 ★人力资源安全　
　　 ★物理和环境安全
　　 ★通信与操作管理
　　 ★访问控制
　　 ★信息系统的获取、开发和维护
　　 ★信息安全事故管理
　　 ★业务连续性管理
　　 ★符合性
　　
　　 内控主要考虑的内容：
　　 ★对程序和数据的访问控制
　　 ★程序变更管理
　　 ★程序开发
　　 ★系统运行
　　
　　 2、重合控制点的控制侧重不同。
　　 内控比较关注用户的管理、权限的控制、访问的审计等，这个和ISO27001关注的一些控制点有重合，不过在控制点里边，内控的要求侧重在数据真实的控制，偏重审计，防范技术手段和管理的脱节，内控更偏重于细节点。7799关注整体的安全管理，从体系的角度来考虑安全。

　　 3、安全管理体系和内控相互促进，两者的交集以要求高的为标准。