江苏企业;ISO/IEC 27001: 2022转版思路

ISO/IEC 27001: 2022虽然做了一些变动，也新增了一些内容，但是体系的架构没变，仅仅是ISO/IEC 27001: 2013基础上进行一些微调，因此在转版时，不会有太多的额外工作量。

要在ISO/IEC 27001: 2013基础上进行变动而符合ISO/IEC 27001: 2022的要求，主要考虑以下几个方面：

（一）文件的调整：新版正文和附录都新增了要求，如正文的6.3，以及附录新增的11个控制项，要确保这些新增要求在体系文件（如信息安全管理手册，信息安全策略，程序文件，适用性声明等）中得到体现，这可以在原有文件上修订或新增文件实现。另外，针对新版其他微调的条款，也可以对相应的文件，如信息安全管理手册，进行稍微的修改，这个不调整，也基本不会有太大影响。

（二）记录的调整：由于新版条款发生了一些变化，特别是新增的条款，因此有些记录，如内审检查表，要进行更新。

（三）风险评估的调整：新版的变化对风险评估过程没有影响，只是新版附录A的结构变化较大，也增加了11个新的控制项，因此在进行风险处置的时候需要参照新版附录A的控制项。