十问十答，全面解答企业ISO/IEC 27001:2022转版热门问题

ISO/IEC 27001:2022升级与版本转换问题

由于信息安全管理体系的方式与思维没有发生变化，基于过程方法、PDCA循环与风险思维的路径仍然有效，现有组织如果升级信息安全管理体系时，管理体系文件方面变化不大，可以继续使用，但应强化跟进信息安全技术的新发展，以SOA为线索，实现标准的升级转换。

在现有完整的一整套管理体系下（包括但不限于方针、策略、规则、流程、程序、架构、软件硬件等），应当基于改进的原则，从主要业务流程切入，从信息自身从创建产生到处置灭失全生命周期、信息系统及其他资产的构思确定设计到维护退出的全生命周期两个维度进行分析，对现有适用性声明进行重新的评估，根据组织相关方、法律法规及其他要求，以分级的理念，结合附录要求及ISO/IEC27002:2022标准提供的控制参考，进行信息安全控制的重新识别、规定、实施、保持与改进。

1、目前Zui常用的信息安全风险评估从哪几个方面做？
信息安全风险评估在Zui新ISO/IEC 27001:2022标准中没有太大的变化，但在ISO/IEC 27005:2018标准中讲了风险评估的一个方法论，更强调的是从业务的角度识别业务风险及识别威胁漏洞，根据发生的可能性从量化、定量、定性算出风险的大小，然后按照企业的风险偏好，采取相应的风险控制措施。

2、不在SOA里面的也可以自己增加控制项吗？
当然可以。组织从标准里面去选取适用的控制项，按照实际去补充新的控制项，实施信息安全管理控制。

3、正准备做ISO/IEC 27001:2013的认证，建议做哪些版本合适？
目前正准备进行认证的企业，建议可以先使用新版ISO/IEC 27001:2022做一个差距评估分析，根据差距的程度评估，选择适合的版本进行认证。评估差距不大，可直接申请新版的认证，过程中会涉及到执行的差距不大，但会涉及少量的更新工作，如在文件的准备上，需要按照新版本更新SOA控制项。若评估差距很大，可以给自己预留充足的时间窗（如1年的时间）再进行升版。