访问控制在ISO/IEC 27001

279访问控制在ISO/IEC 27001：2005中是A.11.访问控制不但是逻辑上的还是物理上的。

280在ISO/IEC 27001：2005中是“控制（control）”，在ISO/IEC 27001：2013中修改成了“限制(limit)”。 281策略用的是policy。

282形成文件，在英文中就一个词汇documented。Doument在英文中含义比较多，既可以是文件，又可以是记录。在ISO/ IEC 27001：2005中经常出现record做记录用，在ISO/IEC 27001：2013只有讨论日志(log)的时候采用这个词汇。

283在ISO/IEC 27001：2005中本节在A.11.4网络访问控制中，其中不但包括了用户访问的问题，还有网络隔离等网络安全相关的内容，逻辑上不太清晰，这次网络和网络服务访问单独拿出来，系统和应用访问服务还是单独的A.9.4。

284服务是新加的，在ISO/IEC 27001: 2005只强调了信息系统，而且没用广义的系统。

285在ISO/IEC 27002: 2005的应用指南中，这是个给了一堆建议的条款，但是ISO/IEC 27002: 2013中砍掉了大部分的描述， 现在保留的只有4项了。

286用户注册和注销的要求是正式的process（过程），不是规程(procedure)。这种控制措施宜用技术手段来实现，而不仅仅是纸上的制度。