ISO/IEC 27001:2022 《信息安全、網(wǎng)絡(luò)安全和隱私保護-信息安全管理體系-要求》標準

中科至善 2022-11-21

今年10月25日，ISO/IEC 27001:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護-信息安全管理體系-要求》標準正式發(fā)布，該標準取代了現(xiàn)行ISO/IEC 27001:2013 | GB/T22080-2016《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》。ISO/IEC 27001:2022提供了更強大的信息安全控制，以幫助組織解決日益復雜的安全風險及應(yīng)對全球網(wǎng)絡(luò)安全挑戰(zhàn)，提高數(shù)字信任確保業(yè)務(wù)連續(xù)性。

ISO/IEC 27001:2022為期3年的過渡期，現(xiàn)有獲得ISO27001認證的單位需在2025年10月25日前完成標準的轉(zhuǎn)版。為順利過渡到新版本，已經(jīng)通過ISO/IEC 27001:2013認證的組織需要引起重視，根據(jù)新的子條款和修改后的要求修訂內(nèi)部政策，并根據(jù)ISO/IEC 27001:2022附錄A修訂風險評估結(jié)果和風險處置計劃。

本次升級主要是基于信息安全最佳實踐的發(fā)展進行了技術(shù)性修訂，以與管理體系標準的高階結(jié)構(gòu)及ISO/IEC 27002：2022《信息安全、網(wǎng)絡(luò)安全-隱私保護 -安全管理體系-要求》保持一致。

ISO/IEC 27001:2022 中文版下載地址： https://drive.weixin.qq.com/s?k=AKoA4geoAAk0nyYBfk
該文件由鷹眼翻譯社區(qū)提供，僅用于學習交流。

總體來看，ISO/IEC 27001:2022主要變化如下：

1）主要增加了6.3變更計劃，其他個別條款：如9.2內(nèi)部審計、9.3管理評審等要求及注解進行了更加明確的編輯性調(diào)整，協(xié)調(diào)了與其他管理體系標準的高階結(jié)構(gòu)保持一致。

2）另外，對10.改進兩個子條款的編號順序（持續(xù)改進、不符合及糾正措施）進行了互換。

3）附錄 A引用了ISO/IEC 27002:2022中描述的信息安全控制

附錄信息安全控制邏輯進行了重新的調(diào)整，將原來14個控制域114項控制措施，結(jié)合國際公認的最佳實踐進行了更新、刪減、合并與新增，調(diào)整為組織、人員、物理和技術(shù)控制4個方向的93項控制。

4）其他變化

在兩個版本中，4.1 理解組織及其背景、5.1 領(lǐng)導力和承諾、5.3 組織角色、職責和權(quán)力、6.1.3 信息安全風險處理存在細微變化。

ISO/IEC 27001:2022主要變化歸納：

    1、名稱變化：標準由原來的“信息技術(shù)-安全技術(shù)”擴展為“信息安全、網(wǎng)絡(luò)安全和隱私保護”，與ISO/IEC 27002:2022保持一致，與當前的信息安全發(fā)展趨勢更為匹配。

   2、控制域濃縮：本標準結(jié)構(gòu)將從第二版的14個合并為組織、人員、物理和技術(shù)4個方向。

   3、控制措施變更：控制措施從114項減少到93項，刪除了某些控制項，推出了11項新的控制項，合并了24項控制項，更新了58項控制項。

ISO/IEC 27001:2022升級與版本轉(zhuǎn)換問題

由于信息安全管理體系的方式與思維沒有發(fā)生變化，基于過程方法、PDCA循環(huán)與風險思維的路徑仍然有效，現(xiàn)有組織如果升級信息安全管理體系時，管理體系文件方面變化不大，可以繼續(xù)使用，但應(yīng)強化跟進信息安全技術(shù)的新發(fā)展，以SOA為線索，實現(xiàn)標準的升級轉(zhuǎn)換。

在現(xiàn)有完整的一整套管理體系下（包括但不限于方針、策略、規(guī)則、流程、程序、架構(gòu)、軟件硬件等），應(yīng)當基于改進的原則，從主要業(yè)務(wù)流程切入，從信息自身從創(chuàng)建產(chǎn)生到處置滅失全生命周期、信息系統(tǒng)及其他資產(chǎn)的構(gòu)思確定設(shè)計到維護退出的全生命周期兩個維度進行分析，對現(xiàn)有適用性聲明進行重新的評估，根據(jù)組織相關(guān)方、法律法規(guī)及其他要求，以分級的理念，結(jié)合附錄要求及ISO/IEC27002:2022標準提供的控制參考，進行信息安全控制的重新識別、規(guī)定、實施、保持與改進。

1、目前最常用的信息安全風險評估從哪幾個方面做？

信息安全風險評估在最新ISO/IEC 27001:2022標準中沒有太大的變化，但在ISO/IEC 27005:2018標準中講了風險評估的一個方法論，更強調(diào)的是從業(yè)務(wù)的角度識別業(yè)務(wù)風險及識別威脅漏洞，根據(jù)發(fā)生的可能性從量化、定量、定性算出風險的大小，然后按照企業(yè)的風險偏好，采取相應(yīng)的風險控制措施。

2、不在SOA里面的也可以自己增加控制項嗎？

當然可以。組織從標準里面去選取適用的控制項，按照實際去補充新的控制項，實施信息安全管理控制。

3、正準備做ISO/IEC 27001:2013的認證，建議做哪些版本合適？

目前正準備進行認證的企業(yè)，建議可以先使用新版ISO/IEC 27001:2022做一個差距評估分析，根據(jù)差距的程度評估，選擇適合的版本進行認證。評估差距不大，可直接申請新版的認證，過程中會涉及到執(zhí)行的差距不大，但會涉及少量的更新工作，如在文件的準備上，需要按照新版本更新SOA控制項。若評估差距很大，可以給自己預(yù)留充足的時間窗（如1年的時間）再進行升版。

以上內(nèi)容由中科至善（uvsec.com）整理發(fā)布。

ISO IEC 27001:2022

上一篇：高峰論壇“個人信息保護法實施一周年實踐與展望”成功舉行

下一篇：黑客利用微信公眾號系統(tǒng)漏洞竊取醫(yī)療機構(gòu)數(shù)10萬條個人信息