ISO/IEC 27001:2022新版标准已正式发布
ISO/IEC 27001:2022信息安全管理体系标准已于2022年10月25日正式发布,ISO/IEC 27001是目前国际上被广泛接纳和采用的信息安全标准,也是国际公认的保护信息资产和知识产权的良好实践。
ISO/IEC 27001:2022标题改为《信息安全、网络安全和隐私保护—信息安全管理体系—要求》,它与ISO/IEC 27002:2022的标题《信息安全、网络安全和隐私保护—信息安全控制》一致。
ISO/IEC 27001:2022主要变化点
◌ 所列的控制项从114项减少到93项;
◌ 在ISO/IEC 27001:2022中引入了新的子条款,新的子条款的引入进一步协调了与其他管理体系标准的文件结构,如ISO 9001:2015、ISO 22301:2019;
◌ 在ISO/IEC 27001:2022中引入了新的文本,并重新安排了一些文本,但它们只是澄清了要求,并没有给标准增加新的要求;
◌ 删除了某些控制项;
◌ 推出了11项新的控制项;
◌ 合并了24项控制项;
◌ 更新了58项控制项;
◌ 引入了属性的概念。
◌ 新版ISO/IEC 27001:2022附录A的标题改为 "信息安全控制措施参考"。新增、删除以及合并了一些安全控制,附录A被修订为与ISO/IEC 27002: 2022中的信息安全控制相一致,这也是ISO/IEC 27001:2022最重要的变化。条款中的4-10的变化只是编辑上的小改动,以进一步与其他管理系统标准的结构保持一致。变更内容包含网络安全和隐私方面,更新了控制语言并添加了额外指导。变更内容有助于公司管理风险,确保没有遗漏并及时跟进。
转版注意事项
新版ISO/IEC 27001于2022年10月25日发布。转版时间为3年,现有证书需要在2025年11月前转版到新版本。
为顺利过渡到新版本,已经通过ISO/IEC 27001:2013认证的组织需要引起重视,根据新的子条款和修改后的要求修订内部政策,并根据ISO/IEC 27001:2022附录A修订风险评估结果和风险处置计划。ISO/IEC 27001的2024年度评审,还可以按照旧版进行审核,但是2025年9月证书就会失效,建议各组织可以准备按照新版ISO/IEC 27001:2022进行审核。