国际标准化组织(ISO)已于2022年10月25日发布了ISO/IEC 27001:2022《Information security, cybersecurity and privacy protection—Information security management systems — Requirements》(信息安全、网络安全和隐私保护 信息安全管理体系 要求)(以下简称新版ISMS标准),该标准代替了ISO/IEC 27001:2013。
本次标准升级主要是基于信息安全最佳实践的发展进行了技术性修订,以与管理体系标准的高阶结构及ISO/IEC27002:2022保持一致。
新版ISMS标准重大的变化主要体现在:
1)标准名称发生扩展变化:标准范畴由原来的“信息技术 安全技术”扩展为“信息安全 网络安全 隐私保护”,与当前的信息技术发展趋势相匹配;
2)规范性附录发生重大变化:附录信息安全控制措施进行了重新调整,将原来14个控制域114项控制措施,结合国际公认的最佳实践进行了删减、合并和新增,调整为组织、人员、物理和技术信息控制4个方向的93项控制。附录A中列出的信息安全控制直接派生自 ISO/IEC 27002:2022第5章至8章中所列的控制,并与之保持一致,并应与正文 6.1.3 结合使用。
3)针对ISO/IEC 27001:2022标准的正文部分,主要是条款细节的增补,以及语言描述的调整,包括:
——前言中针对变化的描述;
——在 4.2 中添加 c):这些要求中的哪些将通过信息安全管理体系得到解决;
——在4.4中增加描述:组织应按照本文件的要求建立、实施、维护和持续改进信息安全管理体系,包括所需的过程及其相互作用;
——在5.1中添加注释:本文档中提及的“业务”可以广义地解释为那些对组织存在的目的至关重要的活动;
——明确了与新附录 A 保持一致;
——6.2中增加 d)被监控;以及 g) 可作为文件化信息获得;
——增加了新的 6.3变更计划:当组织确定需要对信息安全管理体系进行变更时,应以策划的方式进行变更;
——7.4 沟通:从 2013 版中删除了 e);
——8.1改写为:组织应策划、实施和控制满足要求所需的过程,并通过以下方式实施第 6 章确定的措施:
◆ 为过程建立标准;
◆ 按照准则实施过程控制。
--文件化信息应在必要的范围内可用,以确保过程已按计划进行。
--组织应控制计划的变更并评审非预期变更的后果,必要时采取措施减轻任何不利影响。
--组织应确保与信息安全管理体系相关的外部提供的过程、产品或服务受到控制。
——内部审核:在第 9.2.1和 9.2.2小节中重新组织和拆分文本;
——9.3管理评审:增加了新的条款 9.3.2 c)与信息安全管理体系相关的相关方需求和期望的变化,并在两个新的子章节 9.3.1和9.3.2下重新组织了描述;
——10.1和 10.2的编号调整等。
根据国际认可论坛(IAF)的工作安排,新旧版本转换时间为三年,我中心计划于2023年4月开始对依据ISO/IEC 27001:2022认证的客户实施初次或标准转换评审。请各获证组织关注转换时间节点,及时做好换版工作。 |