扫码关注

中标华信微信公众号

请留下您的联系方式和留言,我们会尽快回复您

您所在的位置: 首页 > 宣传栏 > 通知公告

ISO/IEC 27001:2022标准转版过渡指南

近年来,随着网络发展、信息化流程在我国的快速推广,信息安全问题愈加受到重视,期间也伴随着很多信息安全事件的发生,这也导致越来越多的企业更加关注信息安全问题,关于信息安全管理体系的认证渐渐走入了大众视野,作为新起之秀,ISO/IEC 27000系列标准的关注度和完善程度也在不断升级。

一、标准发布时间

2022年2月15,ISO/IEC 27002:2022《信息安全、网络安全和隐私保护—信息安全控制》发布,为使ISO/IEC 27001的附录A与ISO/IEC 27002:2022一致,其同系列的标准ISO/IEC FDIS 27001(终版草案稿)已于近日发布,并发送给所有ISO成员机构进行投票,投票将于2022年9月22日结束,新版标准也将于2022年10月对外公布。


二、标准变化内容

ISO/IEC 27001:2022 FDIS 正文的主要变化:

lHLS高阶结构

l信息安全目标监控

l流程相互链接、作用

l流程规范及有效性评审

l更强调文件化及记录作为实施证据

l增强组织内外沟通

l变化的适应性及实施的规划性

具体变化如下:

1、标题的变化

FDIS版的标题改为《信息安全、网络安全和隐私保护—信息安全管理体系—要求》,它与ISO/IEC 27002:2022的标题《信息安全、网络安全和隐私保护—信息安全控制》一致。

2、条款编号的变化

1)在ISO/IEC FDIS 27001中引入了新的子条款

新的子条款的引入进一步协调了与其他管理体系标准的文件结构,如ISO 9001:2015、ISO 22301:2019。

2)两个子条款的顺序是互换的

尽管如此,各分项中的要求没有变化。

3、新文本的变化

在ISO/IEC FDIS 27001中引入了新的文本。

虽然增加了新的文本,并重新安排了一些文本,但它们只是澄清了要求,并没有给标准增加新的要求。

4、附录A的变化

附录A的标题改为“信息安全控制措施参考”。另外,控制措施也进行了修订,用来与ISO/IEC 27002:2022保持一致。

然而,与2013年版本的情况一样,只有控制的描述来自于ISO/IEC 27002:2022。ISO/IEC 27002:2022中的其他元素,如控制的目的和属性,并没有包括在ISO/IEC FDIS 27001附录A中。实施ISO/IEC 27001的组织应参考该指导标准,以更好地理解信息安全控制。

5、其他变化

正如预期的那样,附录A被修订为与ISO/IEC 27002:2022中的信息安全控制相一致,这也是ISO/IEC FDIS 27001最重要的变化。条款4-10的变化是编辑上的小改动,以进一步与其他管理体系标准的结构保持一致。

为顺利过渡到新版本,已经通过ISO/IEC 27001:2013认证的组织需要引起重视,根据新的子条款和修改后的要求修订内部政策,并根据ISO/IEC FDIS 27001附录A修订风险评估结果和风险处置计划。

三、ISO/IEC 27001:2022转版时间线

202210月开启三年的转换期,到202510月结束

四、ISO/IEC 27001过渡指南

理解新标准的要求,参加新标准培训:要重点学习新版ISO/IEC 27001和ISO/IEC 27002变化的内容,可以参加本公司新版标准的培训课程;进行差距分析,制定转换计划:对现有控制和ISO/IEC 27002:2022中列出的控制进行差距分析;查看风险评估,判断是否因标准变化带来了新的风险;查看包含或排除必要控制的证据和理由,并相应地更新SOA根据组织的风险处理计划和新的控制来实施适用的变更。根据以上内容制定转换计划,分配和沟通各相关岗位职责;执行转换计划,新标准实施:执行转换计划的安排,并注意每项计划所需资源、时间等的差异。完成策划的各项计划后,管理体系按新标准运行实施;内部评估:管理体系按新标准运行后,可以通过内部审核和管理评审来验证变更内容是否得到有效实施,帮助组织有效评估新标准运行情况,确保转换工作顺利完成;申请标准转换审核:准备就绪之后,可联系本公司进行相应转换审核工作。




申请认证