新版ISO/IEC 27001:2022的主要变化

发布日期：2023-09-08 作者：点击：

新版的标题更改为《信息安全，网络安全和隐私保护— 信息安全管理系统—要求》。它与ISO / IEC 27002:2022《信息安全，网络安全和隐私保护—信息安全控制》的标题一致。

ISO 27001:2022的新特点概述

ISO 27001描述了信息安全管理系统（简称ISMS）的框架--无论公司的组织结构、规模或方向如何，都是如此。这里的关键是风险管理。不断变化的网络威胁正在不断利用公司的新的潜在漏洞，目的是攻击和破坏信息流，从而影响业务流程。这种机制对信息安全的三个基本保护目标--保密性、完整性和可用性--产生的风险必须被识别和管理。

ISO/IEC 27001:2022的更新涉及管理这些信息安全风险的最佳实践。新的ISO/IEC 27001:2022的规范性附件A中可能的信息安全控制清单与修订后的ISO/IEC 27002:2022指南中的内容相同。该实施指南已于今年2月通过，并采用了更简单的分类法和当代安全控制。随着新的ISO/IEC 27001:2022的发布，成功的ISO标准串联27001/27002及其宝贵的建议措施再次成为最先进的标准。

新的ISO/IEC 27001:2022的另一个重大变化是，随着对所谓的协调结构的适应，过程导向的要求被置于有效的ISMS的重点。有效的管理系统的基础是明确的过程和它们的相互作用，以及这些过程的目标导向标准，以便对它们进行控制。

在下文中，我们将对新版ISO 27001的三个变化领域进行仔细研究。

高层结构变为统一结构

从2021年5月起，以前的高层结构（HLS）将被统一结构（HS）所取代。HS是制定新的和未来修订现有ISO管理系统标准的基本结构和模板。ISO/IEC 27001:2022是首批适应HS的管理体系标准之一。与HLS相比，HS中的各种澄清、增加以及删除，对于熟悉该标准的用户来说是相当有趣的。

然而，对于ISO/IEC 27001:2022来说，可以直接看到从HS中衍生出来的重要内容。在未来，第6.3条将要求以有计划的方式实施对ISMS的修改。这一要求是其他管理系统所熟悉的，表达了对ISMS相关变更过程已经掌握的期望。例如，从以前的ISO/IEC 27001:2013过渡到新的ISO/IEC 27001:2022，可以理解为ISMS的变更，应该以有计划的方式实施其所有影响和互动。

ISO/IEC 27001:2022中的规范性变化

一个非常重要的变化是在第4.4条中增加了组织的背景，要求确定ISMS中实施和维护所需的必要过程及其相互作用。这一明确的要求使ISO/IEC 27001:2022与根据HS（HLS）的其他管理系统的最佳实践方法相一致。信息安全管理体系必须建立在既定的、可追踪的流程及其相互作用的基础上。然后围绕这些流程设计和调整附件A的信息安全控制。

第8.1条的下一个相关变化也强调了流程导向的重要性，这是所有基于HS的管理系统的共同点。组织必须将流程作为其运营规划和控制的一部分来实现，以实施管理信息安全风险的措施。新的内容是，现在必须定义流程标准。流程控制必须按照这些标准来实施。

此外，在以下条款中还做了相当小的澄清和说明。

对第5.3条进行了补充，明确要求在组织内公布与信息安全有关的角色的责任和权限。

第7.4条规定了有关ISMS的内部和外部沟通的需要。除了仍然适用的关于 "什么"、"何时 "和 "与谁 "的规定外，沟通的方式是对以前要求的一种可行的简化。

第9.2条内部审计和第9.3条管理评审已经根据统一结构进行了调整。第9.2条现在被细分为9.2.1和9.2.2，第9.3条被分为三个子条款9.3.1、9.3.2和9.3.3。

第10.1条和第10.2条的结构顺序已经根据统一结构进行了调整。在第10.1条中，前瞻性的持续改进方面现在先于第10.2条中的不合格品和纠正措施的回顾性处理，在内容上没有任何进一步的变化。这一调整强调了持续改进过程（CIP）的重要性。

另一项澄清涉及到信息安全风险处理措施的选择，第6.1.3c)条。这些措施的定义要考虑到风险评估的结果，并与附录A的控制措施相比较。该方法保持不变。然而，以前的ISO 27001中的解释性说明提到了附件A，要求它包含一个全面的控制目标和控制措施的清单。

在新的ISO/IEC 27001:2022中，对附件A的提及可以理解为一份可能的信息安全控制清单，它更加开放，因此适用性更强。

简而言之，ISO/IEC 27001:2022的附件A仍应被视为一个整体，作为条款6.1.3 c)中强制性要求的一部分，但其中包含的一系列单独的信息安全措施可以由用户更灵活地选择、设计和扩展。ISO/IEC 27001的新版本在此强调了管理系统框架对组织特定控制措施集的开放。

ISO/IEC 27001:2022的新附件A

ISO/IEC 27001:2022的规范性附件A中可能的信息安全（IS）控制清单与ISO/IEC 27002:2022的内容相同。一般安全控制的目录已于2022年2月公布。因此，ISO/IEC 27001:2022的附件A的变化在一段时间内是可以预见的。此前，附件A包括总共114项控制措施，这些措施可用于解决组织在14个条款中的35个控制目标下的信息安全风险。

除了新的ISO/IEC 27001:2022取消了控制目标外，附件A中的信息安全控制措施已经被修订，更新，并以一些新的控制措施进行补充和重组。

附件A原来的14个条款现在集中在以下4个主题上。

A.5 组织控制（包括37项控制）。

A.6 个人控制（包括8项控制）。

A.7 物理控制（有14项控制措施）

A.8 技术控制（包括34项控制）。

新版ISO/IEC 27001:2022的附件A现在共包括93项控制，其中以下11项是新的控制。

A.5.7 威胁情报

A.5.23 使用云服务的信息安全

A.5.30 业务连续性的ICT准备情况

A.7.4 物理安全监控

A.8.9 配置管理

A.8.10 信息的删除

A.8.11 数据屏蔽

A.8.12 防止数据泄漏

A.8.16 活动监控

A.8.23 网络过滤

A.8.28 安全编码

虽然ISO/IEC 27001:2022的附件A仅限于命名控制，但ISO/IEC 27002:2022实施指南提供了进一步的分类选项。在那里，每个控制被分配了五个属性，允许对它们有不同的看法和观点。这些属性或其属性值可用于过滤、排序或为不同的组织视图显示。

这五个属性是：

控制类型是一个属性，用于从一个措施何时以及如何改变与信息安全事件发生有关的风险的角度来看待控制。

信息安全属性是一个属性，用于从措施旨在支持什么保护目标的角度来看待控制。

网络安全概念是从它们如何映射到ISO/IEC TS 27110中描述的网络安全框架的角度来看待控制。

操作能力从其操作信息安全能力的角度考虑控制，并支持用户对措施的实际看法。

安全领域是一个属性，允许从四个信息安全领域的角度来看待控制措施。

此次更新对您的认证意味着什么？

新的和改进的ISO/IEC 27001版本已于2022年10月25日发布。这导致标准用户的过渡时间和期限如下。

⬤根据ISO/IEC 27001:2022的认证准备情况

-> 可能从2023年6月至7月

⬤根据原ISO 27001:2013进行初始/再认证审核的最后日期
-> 新的ISO/IEC 27001:2022发布后18个月

⬤所有现有证书过渡到新的ISO/IEC 27001:2022
-> 3年，与
ISO/IEC 27001:2022发布月的最后一天有关（2025年10月）。

ISO 27001:2022的新版总结

新的ISO/IEC 27001:2022已经出版，这标志着3年过渡期的开始。

总的来说，主要的创新有以下几点

⬤管理体系与协调结构的一致性。

⬤强调过程导向、其相互作用和标准。

⬤简化和精简控制措施的分类，将其分为专题块。

⬤与当前组织方法和相关威胁相一致的当代措施。

⬤使控制措施与各种风险管理方法相一致的属性，包括全球网络安全框架。

免责声明：本文部分内容根据网络信息整理，文章版权归原作者所有。向原作者致敬！推送旨在积善利他，如涉及作品内容、版权和其它问题，请跟我们联系删除！

本文网址：http://www.sdsxb.com/news/837.html

关键词：济南信息安全管理体系认证,济南信息技术管理体系认证,济南能源管理体系认证

上一篇：干货 | ISO各大体系速览，值得收藏！
下一篇：信息安全管理体系与信息技术服务管理体系的区别与联系

行业动态

热门关键词

联系我们