信息安全管理體系標(biāo)準(zhǔn)ISO/IEC 27001:2022

國際標(biāo)準(zhǔn)化組織（ISO）于2022年10月25日發(fā)布了ISO/IEC 27001:2022《Information security, cybersecurity and privacy protection—Information security management systems — Requirements》（信息安全、網(wǎng)絡(luò)安全和隱私保護(hù) 信息安全管理體系 要求），該標(biāo)準(zhǔn)代替了ISO/IEC 27001:2013，該標(biāo)準(zhǔn)將作為信息安全管理體系認(rèn)證機(jī)構(gòu)的認(rèn)證依據(jù)。

  此次發(fā)布的版本與2013版的最大變化主要是針對附錄 A （ISO/IEC 27002:2022對應(yīng)的控制措施）的更新，這些變化體現(xiàn)了近些年來信息安全管理的變化趨勢，主要變化見下:

  1、附錄A中列出的信息安全控制直接派生自 ISO/IEC 27002:2022第 5 章至 8 章中所列的控制并與之保持一致，并應(yīng)與正文 6.1.3 結(jié)合使用。

  2、新版ISO/IEC 27002:2022更新了信息安全控制集（包括指南），以反映企業(yè)和政府各個部門的發(fā)展和當(dāng)前信息安全實踐。相較2013版，新版標(biāo)準(zhǔn)簡化（減少了21個控制措施）并增強(qiáng)了可用性。

  針對ISO/IEC 27001:2022標(biāo)準(zhǔn)的正文部分，主要是條款細(xì)節(jié)的增補(bǔ)，以及語言描述的調(diào)整，包括：

  1、前言中針對變化的描述；

  2、在 4.2 中添加 c)：這些要求中的哪些將通過信息安全管理體系得到解決；

  3、在4.4中增加描述：組織應(yīng)按照本文件的要求建立、實施、維護(hù)和持續(xù)改進(jìn)信息安全管理體系，包括所需的過程及其相互作用；

  4、在5.1中添加注釋：本文檔中提及的“業(yè)務(wù)”可以廣義地解釋為那些對組織存在的目的至關(guān)重要的活動；

  5、明確了與新附錄 A 保持一致；

  6、6.2中增加 d)被監(jiān)控；以及 g) 可作為文件化信息獲得；

  7、增加了新的 6.3變更計劃：當(dāng)組織確定需要對信息安全管理體系進(jìn)行變更時，應(yīng)以策劃的方式進(jìn)行變更；

  8、7.4 溝通：從 2013 版中刪除了 e)；

  9、8.1改寫為：組織應(yīng)策劃、實施和控制滿足要求所需的過程，并通過以下方式實施第 6 章確定的措施：

  ◆ 為過程建立標(biāo)準(zhǔn)；

  ◆ 按照準(zhǔn)則實施過程控制。

  --文件化信息應(yīng)在必要的范圍內(nèi)可用，以確保過程已按計劃進(jìn)行。

  --組織應(yīng)控制計劃的變更并評審非預(yù)期變更的后果，必要時采取措施減輕任何不利影響。

  --組織應(yīng)確保與信息安全管理體系相關(guān)的外部提供的過程、產(chǎn)品或服務(wù)受到控制。

  10、內(nèi)部審核：在第 9.2.1 和 9.2.2 小節(jié)中重新組織和拆分文本；

  11、9.3 管理評審：增加了新的條款 9.3.2 c) 與信息安全管理體系相關(guān)的相關(guān)方需求和期望的變化，并在兩個新的子章節(jié) 9.3.1 和 9.3.2 下重新組織了描述；

  12、10.1 和 10.2 的編號調(diào)整等。

  根據(jù)國際認(rèn)可論壇的工作安排，新舊版本轉(zhuǎn)換時間為三年，獲證企業(yè)需關(guān)注轉(zhuǎn)換時間節(jié)點(diǎn)，及時做好換版工作。