ISO/IEC 27001:2022 信息安全管理系统要求于 2022 年 10 月 25 日公布新版条款,其中也回应了附录 A ISO/IEC 27002:2022 信息安全管理系统:指南、一般原则的变化。
本标准相较于前次 2013 版,最核心差异于 2022 版在信息安全的基础上导入了Cybersecurity and Privacy protection(网络安全和隐私保护)的概念,以呼应ISO/IEC TS 27110《信息科技、网络安全和隐私权保护 — 网络安全架构开发指南》与 ISO/IEC 27701 隐私数据管理系统等规范。
ISO/IEC 27001:2022新版架构调整
本标准在条款上除了在编码上进行小幅度的微调之外,整体的架构上也进行调和式结构的更动,使其可以呼应其他ISO标准。这次 2022 年改版主要聚焦在新增的条文 6.3 变更的规划:「当组织确定需要对信息安全管理系统进行变更时, 应以计划的方式进行变更。」 因添加此条文也将本标准整体架构更贴近 ISO 9001 质量管理系统 。在组织使用相关系统时,如何进行一致化、标准化的管理来确保质量(产品、服务),以此观点来思考 ISMS(信息安全管理系统,Information Security Management System)的核心精神。
ISO/IEC 27002:2022改版深入解读
此次更动除了将原本2013版的14个控制领域整并为4大领域,将原114个控制措施整并、新增为93个控制措施之外。及由控制领域的更动,可以使组织判断此控制项是针对(组织、人员、实体、技术)哪一方面,并且在每项控制措施前也加入控制属性,其主轴精神使组织利用标签化系统来查找对应之控制措施。
控制属性包含下列元素:
·控制类型:预防、侦测、矫正
·信息安全特性:机密性、完整性、可用性
·网络安全框架:识别、保护、侦测、回应、复原
·执行能力:治理、资产管理、信息保护、实体安全、人员配置、人力资源安全、系统与网络安全、应用系统安全、安全配置、识别与存取管理、威胁及弱点管理、持续性、供应商关系安全、法规与遵循性、信息安全保障
·安全领域:治理生态系统、防护、防御、韧性
在网络安全概念中的五大面向中,ISO/IEC 27002 参考ISO/IEC TS 27110《信息科技、网络安全和隐私权保护—网络安全架构开发指南》,并呼应到NIST(美国国家标准与技术研究院,National Institute of Standards and Technology)所提出CSF(网络安全框架,Cybersecurity Framework)之五大观点。使组织在使用控制措施时更清楚此条款的定位。
新版信息安全标准企业该如何准备?
在新版的 ISO/IEC 27001 规范中,条款上面的变动不大,多属于增强旧版精准度,及调和整体架构。若组织原本已导入 ISO/IEC 27001 在面对新版规范,应重新检视组织治理政策,与相关程序书,并更新适用性说明。重要需留意证书的转版期限,转版期限计算是从ISO/IEC 27001:2022正式发布后起算3年,故最晚组织应于2025年10月24日完成转版。
ISO认证办理热线:150-3440-9001
航鑫检测认证(深圳)有限公司-ISO体系认证机构
航鑫检测认证(深圳)有限公司是认监委批准的三体系认证机构,主要包括ISO9001/ISO14001/ISO45001/ISO27001/ISO20000/售后服务认证等的第三方认证机构。
航鑫检测认证(深圳)有限公司是认监委批准的三体系认证机构,主要包括ISO9001/ISO14001/ISO45001/ISO27001/ISO20000/HSE石油行业管理体系认证等的第三方认证审核机构。
Copyright ©2022 航鑫检测认证(深圳)有限公司 备案号:晋ICP备2021000943号
航鑫认证全国服务热线:199-3586-9001