ISO/IEC27001信息安全管理体系标准解读

信息安全管理体系（Information Security Management System，简称为ISMS）是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系（Management System，MS）思想和方法在信息安全领域的应用。近年来，伴随着ISMSguojibiaozhun的制修订，ISMS迅速被全球接受和认可，成为shijiegeguo、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。

信息安全管理体系是企业按照信息安全管理体系相关标准的要求，制定信息安全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。信息安全管理体系是按照ISO/IEC 27001标准《信息技术 安全技术 信息安全管理体系要求》的要求进行建立的，ISO/IEC 27001标准是由BS7799-2标准发展而来。

ISO/IEC 27001是建立和维持信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系；体系一旦建立组织应按体系规定的要求进行运作，保持体系运作的有效性；信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。

信息安全管理体系认证适用于对信息技术依赖程度高的企业，例如软件、呼叫中心、数据录入、数据加工处理等；还适用于以信息为生命线的行业，例如银行、金融、电信、网通等。建立信息安全管理体系可以提升企业品牌形象、提升企业内部全员的安全意识、提升主动防范信息技术相关安全风险的能力、保障企业运营的安全以及提高企业核心竞争力拓展业务。

ISO/IEC 27001：2022 新版

信息安全管理体系标准的主要变化及转版准备

作为国际上具有代表性的信息安全管理体系标准，ISO/IEC 27001随着信息安全管理的变化趋势应境而变，为使ISO/IEC 27001的附录A与ISO/IEC 27002：2022一致。新版信息安全管理体系guojibiaozhunISO/IEC 27001：2022于2022年10月25日正式发布。

Q

相较于2013版，2022新版发生了哪些变化？

A

ISO/IEC 27001：2022的主要变化如下

新版ISO/IEC 27001：2022解决了公司需要处理的新场景。在新版ISO/IEC 27002中，主要变更内容在附件A中，新增、删除以及合并了一些安全控制。变更内容包含网络安全和隐私方面，更新了控制语言并添加了额外指导。变更内容有助于公司管理风险，确保没有遗漏并及时跟进。

新版本新增11项，更新58项，合并24项。众所周知，上一个版本于2013年发布，新版安全控制变更了如此多的内容也是顺应时势和市场需求产生的结果。

Q

转版时间有哪些要求？

A

新版ISO/IEC 27001于2022年10月25日发布。转版时间为3年，现有证书需要在2025年10月25日前转版到新版本。

转版审核可以在三年转版期的任何预定审核中进行，也可以结合监督审核、再认证进行转版审核。

Q

如何进行转版？

A

1、了解新标准的内容和要求，重点关注修订后的标准所隐含的变化；

2、确保您企业中的相关人员接受了培训并了解相关要求和关键变化；

3、识别出为满足新要求而需要解决的差距，并制定实施计划；

4、实施行动更新您的管理体系以满足新的要求。

Q

现在可以做ISO/IEC 27001:2022新版认证吗？

A

认可委发布的《关于ISO/IEC 27001：2022认证标准换版的认可转换说明》中表明“自2023年1月31日起，CNAS既接受认证机构提出的专项认可转换申请，也接受认证机构结合例行办公室评审进行认可转换的申请”，建议待认证机构通过CNAS认可转换后申请认证证书转版。

Q

2024年年度评审能否按照旧版进行审核？

A

还可以按照旧版进行审核，但2025年10月25日证书就失效了，建议可以准备按照新的版本进行审核，不要拖到Zui后的时间。

Q

目前Zui常用的信息安全风险评估从哪几个方面做？

A

信息安全风险评估在Zui新ISO/IEC 27001：2022标准中没有太大的变化，但在ISO/IEC 27005：2018标准中讲了风险评估的一个方法论，更强调的是从业务的角度识别业务风险及识别威胁漏洞，根据发生的可能性从量化、定量、定性算出风险的大小，然后按照企业的风险偏好，采取相应的风险控制措施。

Q

不在SOA里面的也可以自己增加控制项吗？

A

不在SOA里面的控制项，企业也可以继续添加，实施信息安全管理控制。因为标准只是提供一个起点，企业可以从标准里面去选取适用的控制项，按照实际去补充新的控制项。在ISO/IEC 27000系列标准中，提供了其它的标准供企业选择补充新版ISO/IEC 27001:2022标准中SOA的控制项。例如:关于应用安全ISO/IEC27034:2011标准，可以在ISO/IEC 27001:2022中追加ISO/IEC 27034:2011应用安全的控制项，或增加ISO/IEC 27040:2015存储安全的控制项。

Q

正准备做ISO/IEC 27001认证，建议做哪些版本合适？

A

目前正准备进行认证的企业，建议可以先使用新版ISO/IEC 27001：2022做一个差距评估分析，根据差距的程度评估，选择适合的版本进行认证。评估差距不大，可直接申请新版本的认证，过程中会涉及到执行的差距不大，但会涉及少量的更新工作，如在文件的准备上，需要按照新版本更新SOA控制项。评估差距很大，可以给自己预留充足的时间窗（如1年的时间）再进行升版。