ISO/IEC27001:2022 《信息安全 网络安全 隐私保护 信息安全管理体系 要求》标准已经于2022年10月25日正式发布,将替代第二版ISO/IEC 27001:2013标准,即现行的GB/T22080-2016《信息技术 安全技术 信息安全管理体系 要求》,现有获得ISO27001认证的单位,应在三年内完成标准的转版工作。也就是现有证书需要在2025年11月前转版到新版本。转版审核可以在三年转版过度期的任何预定审核中进行,也可以自由选定转版审核安排进行。
新版发生了较大的变化,标题由《信息技术-安全技术-信息安全管理体系要求》改为《信息安全-网络安全-隐私保护-信息安全管理体系要求》,主要包括:
1、正文条款变化
增加条款6.3变更计划,对9.2内部审计和9.3管理评审进行修订,对第10章两个分条款的顺序进行了互换,其他部分条款进行了微调。
2、控制项要求提高
(1)加强云服务的信息安全管理
加强云服务供应链的信息安全管理,其中云服务提供商依赖于软件开发商、电信服务提供商、硬件提供商等,定义实施流程和程序,以管理云服务供应链相关的信息安全风险。另外,还应关注云环境的安全配置、云上数据的备份、日志记录、云环境的时钟同步、云环境的测试等安全问题。
(2)加强个人数据、隐私保护等数据安全管理
国家法律规《网络安全法》、《数据安全法》以及《个人信息保护法》中,加强了对个人信息保护及企业数据合规的监管,数据安全的保护变得越来越重要。
3、附录A控制项变化
2022版对附录A中信息安全控制框架结构进行了重新构建,将2013版的14个安全控制域合并后总结归纳为人员、物理、技术、组织四大主题,这样的分类更加简单,更加方便组织对安全控制项进行选择归类,便于信息安全控制措施的实施。
4、新增11个安全控制项
2022版的控制项从114个变为93个,其中新增11个控制项,更新58个控制项,合并24个控制项。新版增加了11个安全控制项,新增加的控制项主要集中在组织控制和技术控制三个方面:
——组织控制中增加了威胁情报、云服务以及业务连续性的控制点。
——技术控制中增加了关于数据安全、配置管理、信息删除、数据防泄漏、数据屏蔽、监控活动、网站过滤、安全编码等控制点。
——物理控制中增加了物理安全监控。
5、新增控制措施属性
2022版还有一个重大的变化就是对控制措施增加了5个属性,分别为控制类型、信息安全属性、网络概念、运营能力和安全域。
- 江苏企业申请ISO/IEC 27001认证的文件清单 2024-11-30
- 企业申请ISO/IEC 27001认证的基本条件 2024-11-30
- 江苏企业如何建立ISO/IEC 27001信息安全管理体系? 2024-11-30
- ISO/IEC 27001: 2022标准解读(42)附录A.8 技术控制 2024-11-30
- ISO/IEC 27001:2022标准的实施效益和成功案例 2024-11-30
- 解读|新版ISO27001信息安全管理体系要求 2024-11-30
- ISO/IEC 27001: 2022主要变化 2024-11-30
- ISO/IEC 27001: 2022转版思路 2024-11-30
- 怎样判断某一产品是否为涉水产品? 2024-11-30
- 企业为什么要取得装备承制单位资格? 2024-11-30