ISO/IEC 27001:2022 《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)-信息安全管理體系-要求》標(biāo)準(zhǔn)

中科至善 2022-11-21

今年10月25日，ISO/IEC 27001:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)-信息安全管理體系-要求》標(biāo)準(zhǔn)正式發(fā)布，該標(biāo)準(zhǔn)取代了現(xiàn)行ISO/IEC 27001:2013 | GB/T22080-2016《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》。ISO/IEC 27001:2022提供了更強(qiáng)大的信息安全控制，以幫助組織解決日益復(fù)雜的安全風(fēng)險及應(yīng)對全球網(wǎng)絡(luò)安全挑戰(zhàn)，提高數(shù)字信任確保業(yè)務(wù)連續(xù)性。

ISO/IEC 27001:2022為期3年的過渡期，現(xiàn)有獲得ISO27001認(rèn)證的單位需在2025年10月25日前完成標(biāo)準(zhǔn)的轉(zhuǎn)版。為順利過渡到新版本，已經(jīng)通過ISO/IEC 27001:2013認(rèn)證的組織需要引起重視，根據(jù)新的子條款和修改后的要求修訂內(nèi)部政策，并根據(jù)ISO/IEC 27001:2022附錄A修訂風(fēng)險評估結(jié)果和風(fēng)險處置計劃。

本次升級主要是基于信息安全最佳實(shí)踐的發(fā)展進(jìn)行了技術(shù)性修訂，以與管理體系標(biāo)準(zhǔn)的高階結(jié)構(gòu)及ISO/IEC 27002：2022《信息安全、網(wǎng)絡(luò)安全-隱私保護(hù) -安全管理體系-要求》保持一致。

ISO/IEC 27001:2022 中文版下載地址： https://drive.weixin.qq.com/s?k=AKoA4geoAAk0nyYBfk
該文件由鷹眼翻譯社區(qū)提供，僅用于學(xué)習(xí)交流。

總體來看，ISO/IEC 27001:2022主要變化如下：

1）主要增加了6.3變更計劃，其他個別條款：如9.2內(nèi)部審計、9.3管理評審等要求及注解進(jìn)行了更加明確的編輯性調(diào)整，協(xié)調(diào)了與其他管理體系標(biāo)準(zhǔn)的高階結(jié)構(gòu)保持一致。

2）另外，對10.改進(jìn)兩個子條款的編號順序（持續(xù)改進(jìn)、不符合及糾正措施）進(jìn)行了互換。

3）附錄 A引用了ISO/IEC 27002:2022中描述的信息安全控制

附錄信息安全控制邏輯進(jìn)行了重新的調(diào)整，將原來14個控制域114項控制措施，結(jié)合國際公認(rèn)的最佳實(shí)踐進(jìn)行了更新、刪減、合并與新增，調(diào)整為組織、人員、物理和技術(shù)控制4個方向的93項控制。

4）其他變化

在兩個版本中，4.1 理解組織及其背景、5.1 領(lǐng)導(dǎo)力和承諾、5.3 組織角色、職責(zé)和權(quán)力、6.1.3 信息安全風(fēng)險處理存在細(xì)微變化。

ISO/IEC 27001:2022主要變化歸納：

    1、名稱變化：標(biāo)準(zhǔn)由原來的“信息技術(shù)-安全技術(shù)”擴(kuò)展為“信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)”，與ISO/IEC 27002:2022保持一致，與當(dāng)前的信息安全發(fā)展趨勢更為匹配。

   2、控制域濃縮：本標(biāo)準(zhǔn)結(jié)構(gòu)將從第二版的14個合并為組織、人員、物理和技術(shù)4個方向。

   3、控制措施變更：控制措施從114項減少到93項，刪除了某些控制項，推出了11項新的控制項，合并了24項控制項，更新了58項控制項。

ISO/IEC 27001:2022升級與版本轉(zhuǎn)換問題

由于信息安全管理體系的方式與思維沒有發(fā)生變化，基于過程方法、PDCA循環(huán)與風(fēng)險思維的路徑仍然有效，現(xiàn)有組織如果升級信息安全管理體系時，管理體系文件方面變化不大，可以繼續(xù)使用，但應(yīng)強(qiáng)化跟進(jìn)信息安全技術(shù)的新發(fā)展，以SOA為線索，實(shí)現(xiàn)標(biāo)準(zhǔn)的升級轉(zhuǎn)換。

在現(xiàn)有完整的一整套管理體系下（包括但不限于方針、策略、規(guī)則、流程、程序、架構(gòu)、軟件硬件等），應(yīng)當(dāng)基于改進(jìn)的原則，從主要業(yè)務(wù)流程切入，從信息自身從創(chuàng)建產(chǎn)生到處置滅失全生命周期、信息系統(tǒng)及其他資產(chǎn)的構(gòu)思確定設(shè)計到維護(hù)退出的全生命周期兩個維度進(jìn)行分析，對現(xiàn)有適用性聲明進(jìn)行重新的評估，根據(jù)組織相關(guān)方、法律法規(guī)及其他要求，以分級的理念，結(jié)合附錄要求及ISO/IEC27002:2022標(biāo)準(zhǔn)提供的控制參考，進(jìn)行信息安全控制的重新識別、規(guī)定、實(shí)施、保持與改進(jìn)。

1、目前最常用的信息安全風(fēng)險評估從哪幾個方面做？

信息安全風(fēng)險評估在最新ISO/IEC 27001:2022標(biāo)準(zhǔn)中沒有太大的變化，但在ISO/IEC 27005:2018標(biāo)準(zhǔn)中講了風(fēng)險評估的一個方法論，更強(qiáng)調(diào)的是從業(yè)務(wù)的角度識別業(yè)務(wù)風(fēng)險及識別威脅漏洞，根據(jù)發(fā)生的可能性從量化、定量、定性算出風(fēng)險的大小，然后按照企業(yè)的風(fēng)險偏好，采取相應(yīng)的風(fēng)險控制措施。

2、不在SOA里面的也可以自己增加控制項嗎？

當(dāng)然可以。組織從標(biāo)準(zhǔn)里面去選取適用的控制項，按照實(shí)際去補(bǔ)充新的控制項，實(shí)施信息安全管理控制。

3、正準(zhǔn)備做ISO/IEC 27001:2013的認(rèn)證，建議做哪些版本合適？

目前正準(zhǔn)備進(jìn)行認(rèn)證的企業(yè)，建議可以先使用新版ISO/IEC 27001:2022做一個差距評估分析，根據(jù)差距的程度評估，選擇適合的版本進(jìn)行認(rèn)證。評估差距不大，可直接申請新版的認(rèn)證，過程中會涉及到執(zhí)行的差距不大，但會涉及少量的更新工作，如在文件的準(zhǔn)備上，需要按照新版本更新SOA控制項。若評估差距很大，可以給自己預(yù)留充足的時間窗（如1年的時間）再進(jìn)行升版。

以上內(nèi)容由中科至善（uvsec.com）整理發(fā)布。

ISO IEC 27001:2022

上一篇：高峰論壇“個人信息保護(hù)法實(shí)施一周年實(shí)踐與展望”成功舉行

下一篇：黑客利用微信公眾號系統(tǒng)漏洞竊取醫(yī)療機(jī)構(gòu)數(shù)10萬條個人信息