解读|新版ISO27001信息安全管理体系要求

2022版与2013版的主要区别

ISO/IEC27001:2022版本于2022年10月发布，新版发生了较大的变化，标题也由《信息技术-安全技术-信息安全管理体系要求》改为《信息安全-网络安全-隐私保护-信息安全管理体系要求》，具体改变包括：

1）正文框架的变化

标准正文的框架性要求没有出现较大变化，主要是增加6.3变更计划，对9.2内部审计和9.3管理评审进行了调整，对第10章两个子条款的顺序进行了互换，其他个别条款进行了微调。

2）附录A控制项的核心变化

2022版对附录A中信息安全控制框架结构进行了重新构建，2013版的14个安全控制域合并后总结归纳为人员、物理、技术、组织四大主题，这样的分类更加简单，更加方便组织对安全控制项进行选择归类，以加强信息安全控制措施的实施。

3）新增11个安全控制项

2022版的控制项相比2013版，从114个变为93个，其中新增11个控制项，更新58个控制项，合并24个控制项。新版增加了11个安全控制项，新增加的控制项主要集中在组织控制和技术控制两个主题：--组织控制主题中增加了威胁情报、云服务以及业务连续性的控制点。--技术控制主题主要是增加了关于数据安全、配置管理、信息删除、数据防泄漏、数据屏蔽、监控活动、网站过滤、安全编码等控制点。--物理控制主题增加了物理安全监控。为了适应数字化转型以及组织面临的安全风险，2022版更强调了信息安全管理（ISMS）的规范性和适用性，更适应当前的信息安全发展趋。技术驱动，因为云计算、移动互联的使用，使得组织的工作方式发生了很大的变化，也带来了无边界、零信任等新的技术概念。在新版标准中新增了7个技术控制的控制项，包括数据安全、云服务安全、配置管理、安全编码等管理控制。管理流程，由于外在环境与内部业务都在发生剧烈的变化，信息安全管理流程需要去适应业务的变化，管理流程应更加弹性的实施并开展监督活动。

新版标准从技术驱动、管理流程、适应与多方协调带来了信息安全管理新范式。

4）新增控制措施属性

2022版还有一个重大的变化就是对控制措施增加了5个属性，分别为控制类型、信息安全属性、网络概念、运营能力和安全域。

组织可以使用属性来创建不同的视图，这些视图是从主题的不同角度来对控制进行不同的分类。每个控制都与具有相应属性值的五个属性相关联。属性可用于在不同的视图中为不同的受众筛选、排序或呈现控制。可以通过特定属性值过滤来创建视图，例如下图是纠正性的控制视图。

重大控制点变化解读

1）加强业务连续性管理

ICT为业务连续性做好准备是业务连续性管理和信息安全管理的一个重要组成部分，以确保在中断期间能够继续实现组织的目标。

在业务连续性和ICT连续性规划方面，有必要根据与正常运行条件相比的中断类型来调整信息安全要求。作为在业务连续性管理中执行的业务影响分析和风险评估的一部分，应考虑维护可用性的需要，还应考虑失去信息机密性和完整性的后果并确定其优先级。

2）加强云服务的信息安全管理

加强管理云服务供应链的信息安全，其中云服务提供商依赖于软件开发商、电信服务提供商、硬件提供商等，定义实施流程和程序，以管理云服务供应链相关的信息安全风险。

另外，还应关注云环境的安全配置、云上数据的备份、日志记录、云环境的时钟同步、云环境的测试等安全问题。

3）加强个人数据、隐私保护等数据安全管理

从《网络安全法》、《数据安全法》到《个人信息保护法》，国家加强了对个人信息保护及企业数据合规的监管，数据安全的保护变得越来越重要。

新版本对企业实施ISO27001认证的影响

新版ISO/IEC 27001于2022年10月25日发布。转版时间为3年，现有证书需要在2025年11月前转版到新版本。转版审核可以在三年转版期的任何预定审核中进行，也可以作为特别转版期审核进行。