ISO/IEC 27001:2022 发布(中文),信息安全、网络安全和隐私保护 信息安全管理系统 要求
ISO/IEC 27001:2022的变化点
1、标题的变化:
ISO/IEC 27001:2022标题改为《信息安全、网络安全和隐私保护—信息安全管理体系—要求》,它与ISO/IEC 27002:2022的标题《信息安全、网络安全和隐私保护—信息安全控制》一致。
2、条款编号的变化:
1、在ISO/IEC 27001:2022中引入了新的子条款
新的子条款的引入进一步协调了与其他管理体系标准的文件结构,如ISO 9001:2015、ISO 22301:2019。
2、两个子条款的顺序是互换的
| ISO/IEC 27001:2022 | ISO/IEC 27001:2013 | ||
| 子条款 | 子条款 | ||
| 10.1 | 持续改进 | 10.1 | 不符合及纠正措施 |
| 10.2 | 不符合及纠正措施 | 10.2 | 持续改进 |
尽管如此,各分项中的要求没有变化。
3、在ISO/IEC 27001:2022中引入了新的文本:
| 条款 | 新文本 | 专家解读 | |
| 4.2 | 了解相关方的需求和期望 | 该组织应确定:a) 信息安全管理体系相关方b) 这些相关方与信息安全相关的要求c) 这些要求中的哪些将通过信息安全管理体系来解决 | 明确与信息安全管理体系之间的关系 |
| 4.4 | 信息安全管理制度 | 该组织应建立、实施、维护并持续改进信息安全管理体系。包括所需的过程和它们之间的相互作用。按照本标准的要求,建立、实现、维护和持续改进信息安全管理体系 | 适当地引用了其他管理体系中的标准,例:ISO 9001:2015ISO 22301:2019 |
| 6.2 | 信息安全目标和实现这些目标的规划 | 信息安全目标应:a) ......;a) ......;c) ......;d) 被监测;e) ......;f) ......;g) 可作为文件信息提供。 | 1、d)适当地引用了其他管理体系中的标准,例:ISO 9001:2015ISO 22301:20192、对信息安全目标进行制度化,促进信息安全目标的实现 |
| 7.4 | 沟通 | 组织应确定与信息安全管理体系相关的内容和外部的沟通需求,包括:a) 沟通什么;b) 何时沟通;c) 与谁沟通;d) 如何沟通;e) 谁来沟通;f) 影响沟通的过程。 | 对“谁来沟通”和“影响沟通的过程”进行了删除,用“如何沟通”简化并明确相关的内容 |
| 8.1 | 运行规划和控制 | 该组织应通过以下方式计划、实施和控制流程......。为这些过程制定标准;根据标准实施对过程的控制。 | 适当地引用了其他管理体系中的标准,例:ISO 9001:2015ISO 22301:2019 |
| 9.1 | 监测、测量、分析和评价 | 该组织应确定:a) ......;b) ......所选择的方法应产生可比较和可重复的结果,才能被视为有效;c) ......; | 这是ISO/IEC 27001:2013条款9.1.b)中的一个备注。 |
| 9.3.2 | 管理评审输入 | 管理评审应包括对以下方面的考虑。a) ......;b) ......;c) 与信息安全管理体系有关的有关各方的需求和期望的变化;d) ...... | 与4.2相关方的需求和期望相结合 |
虽然增加了新的文本,并重新安排了一些文本,但它们只是澄清了要求,并没有给标准增加新的要求。
4、附录A的变化:附录A的标题改为 "信息安全控制措施参考"。另外,控制措施也进行了修订,用来与ISO/IEC 27002:2022保持一致。然而,与2013年版本的情况一样,只有控制的描述来自于ISO/IEC 27002: 2022。ISO/IEC 27002:2022中的其他元素,如控制的目的和属性,并没有包括在ISO/IEC 27001:2022附录A中。实施ISO/IEC 27001的组织应参考该指导标准,以更好地理解信息安全控制。
5、其他变化:
| 条款 | ISO/IEC 27001:2022 | ISO/IEC 27001:2013 | 专家解读 |
| 4.1 理解组织及其环境 | 注:确定这些问题是指建立组织的外部和内部环境在考虑ISO 31000:2018第5.4.1条 | 注:确定这些问题是指建立组织的外部和内部环境考虑在ISO 31000:2009第5.3条 | 备注中对ISO 31000的引用是根据新版的ISO 31000更新的。 |
| 5.1 领导和承诺 | 注:"本文件中提到的 "活动 "可被广义地解释为指那些对组织存在的目的具有核心意义的活动。" | / | 在ISO/IEC 27001:2022第5.1条中增加了一个新的备注。 |
| 5.3 组织角色、责任和权力 | 最高管理层应确保与信息安全有关的角色的责任和权限在该组织内得到分配和沟通。 | 最高管理层应确保与信息安全有关的角色的责任和权限得到分配和传达。 | ISO/IEC 27001:2022规定,信息安全责任和权限应在组织内进行沟通。与组织外各方的沟通在7.4中涉及。 |
| 6.1.3 信息安全风险处置 | c) 注2:附录A包含列表中可能的信息安全控制。 | c) 注2:附录A包含一个全面的清单控制目标和控制措施。 | 该说明改写为:附录A中所列的信息安全控制措施是一份可能的信息安全控制措施清单,而不是一份全面的清单。它澄清了附录A的控制措施并非详尽无遗,可以包括额外的信息安全控制措施,正如该条款的第二个注释所指出的。 |
| 8.1 运行规划和控制 | 组织应计划、实施和控制满足要求所需的过程,并做到实施第6条中确定的行动。 | 为了满足信息安全要求以及实现6.1 中确定的措施,组织应规划、实现和控制所需要的过程。组织还应实现为达到6. 2 中确定的信息安全目标一系列计划。 | 第8.1条中的句子被重新表述,但要求没有改变。 |
| 组织应确保外部提供的相关过程、产品或服务对信息安全管理体系进行控制 | 组织应确保外包过程是确定的和受控的。 | 信息安全方面的一些服务,如数据中心或云服务,被归类为外部提供而不是外包更合适。 | |
| 9.1 监测、测量、分析和评9.2.2 内部审核方案9.3.3 管理评审结果 | 应提供文件化信息作为结果的证据 | 组织应保留适当的文件化信息作为监视和测量结果的证据。 | 与文件信息要求有关的句子被重新措辞,但要求没有改变。 |
6、ISO/IEC 27001:2022变更总结:
正如预期的那样,附录A被修订为与ISO/IEC 27002: 2022中的信息安全控制相一致,这也是ISO/IEC 27001:2022最重要的变化。条款4-10的变化是编辑上的小改动,以进一步与其他管理系统标准的结构保持一致。
为顺利过渡到新版本,已经通过ISO/IEC 27001:2013认证的组织需要引起重视,根据新的子条款和修改后的要求修订内部政策,并根据ISO/IEC 27001:2022附录A修订风险评估结果和风险处置计划。
ISO/IEC 27001:2022转版热点问题
1、现在可以做ISO/IEC 27001:2022新版认证吗?
目前可以按照FDIS版本做差距分析,新版在本月底(10月25日)正式发布后才能进行ISO/IEC 27001:2022新版认证,新版证书的发放取决于认可机构的认可进度。
2、2024年年度评审能否按照旧版进行审核?
还可以按照旧版进行审核,但2025年9月证书就失效了,建议可以准备按照新的版本进行审核,不要拖到最后的时间。
3、目前最常用的信息安全风险评估从哪几个方面做?
信息安全风险评估在最新ISO/IEC 27001:2022标准中没有太大的变化,但在ISO/IEC 27005:2018标准中讲了风险评估的一个方法论,更强调的是从业务的角度识别业务风险及识别威胁漏洞,根据发生的可能性从量化、定量、定性算出风险的大小,然后按照企业的风险偏好,采取相应的风险控制措施。
4、不在SOA里面的也可以自己增加控制项吗?
不在SOA里面的控制项,企业也可以继续添加,实施信息安全管理控制。因为标准只是提供一个起点,企业可以从标准里面去选取适用的控制项,按照实际去补充新的控制项。在ISO/IEC 27000系列标准中,提供了其它的标准供企业选择补充新版ISO/IEC 27001:2022标准中SOA的控制项,比如BSI提供的服务,关于应用安全ISO/IEC 27034:2011标准,可以在ISO/IEC 27001:2022中追加ISO/IEC 27034:2011应用安全的控制项,或增加ISO/IEC 27040:2015存储安全的控制项。
5、正准备做ISO/IEC 27001:2013的认证,建议做哪些版本合适?
目前正准备进行认证的企业,建议可以先使用新版ISO/IEC 27001:2022做一个差距评估分析,根据差距的程度评估,选择适合的版本进行认证。评估差距不大,可直接申请新版本的认证,过程中会涉及到执行的差距不大,但会涉及少量的更新工作,如在文件的准备上,需要按照新版本更新SOA控制项。评估差距很大,可以给自己预留充足的时间窗(如1年的时间)再进行升版。
