新版ISO/IEC 27001:2022的主要變化

發(fā)布日期：2023-09-08 作者：點擊：

新版的標題更改為《信息安全，網(wǎng)絡(luò)安全和隱私保護— 信息安全管理系統(tǒng)—要求》。它與ISO / IEC 27002:2022《信息安全，網(wǎng)絡(luò)安全和隱私保護—信息安全控制》的標題一致。

ISO 27001:2022的新特點概述

ISO 27001描述了信息安全管理系統(tǒng)（簡稱ISMS）的框架--無論公司的組織結(jié)構(gòu)、規(guī)?；蚍较蛉绾?，都是如此。這里的關(guān)鍵是風險管理。不斷變化的網(wǎng)絡(luò)威脅正在不斷利用公司的新的潛在漏洞，目的是攻擊和破壞信息流，從而影響業(yè)務(wù)流程。這種機制對信息安全的三個基本保護目標--保密性、完整性和可用性--產(chǎn)生的風險必須被識別和管理。

ISO/IEC 27001:2022的更新涉及管理這些信息安全風險的最佳實踐。新的ISO/IEC 27001:2022的規(guī)范性附件A中可能的信息安全控制清單與修訂后的ISO/IEC 27002:2022指南中的內(nèi)容相同。該實施指南已于今年2月通過，并采用了更簡單的分類法和當代安全控制。隨著新的ISO/IEC 27001:2022的發(fā)布，成功的ISO標準串聯(lián)27001/27002及其寶貴的建議措施再次成為最先進的標準。

新的ISO/IEC 27001:2022的另一個重大變化是，隨著對所謂的協(xié)調(diào)結(jié)構(gòu)的適應(yīng)，過程導(dǎo)向的要求被置于有效的ISMS的重點。有效的管理系統(tǒng)的基礎(chǔ)是明確的過程和它們的相互作用，以及這些過程的目標導(dǎo)向標準，以便對它們進行控制。

在下文中，我們將對新版ISO 27001的三個變化領(lǐng)域進行仔細研究。

高層結(jié)構(gòu)變?yōu)榻y(tǒng)一結(jié)構(gòu)

從2021年5月起，以前的高層結(jié)構(gòu)（HLS）將被統(tǒng)一結(jié)構(gòu)（HS）所取代。HS是制定新的和未來修訂現(xiàn)有ISO管理系統(tǒng)標準的基本結(jié)構(gòu)和模板。ISO/IEC 27001:2022是首批適應(yīng)HS的管理體系標準之一。與HLS相比，HS中的各種澄清、增加以及刪除，對于熟悉該標準的用戶來說是相當有趣的。

然而，對于ISO/IEC 27001:2022來說，可以直接看到從HS中衍生出來的重要內(nèi)容。在未來，第6.3條將要求以有計劃的方式實施對ISMS的修改。這一要求是其他管理系統(tǒng)所熟悉的，表達了對ISMS相關(guān)變更過程已經(jīng)掌握的期望。例如，從以前的ISO/IEC 27001:2013過渡到新的ISO/IEC 27001:2022，可以理解為ISMS的變更，應(yīng)該以有計劃的方式實施其所有影響和互動。

ISO/IEC 27001:2022中的規(guī)范性變化

一個非常重要的變化是在第4.4條中增加了組織的背景，要求確定ISMS中實施和維護所需的必要過程及其相互作用。這一明確的要求使ISO/IEC 27001:2022與根據(jù)HS（HLS）的其他管理系統(tǒng)的最佳實踐方法相一致。信息安全管理體系必須建立在既定的、可追蹤的流程及其相互作用的基礎(chǔ)上。然后圍繞這些流程設(shè)計和調(diào)整附件A的信息安全控制。

第8.1條的下一個相關(guān)變化也強調(diào)了流程導(dǎo)向的重要性，這是所有基于HS的管理系統(tǒng)的共同點。組織必須將流程作為其運營規(guī)劃和控制的一部分來實現(xiàn)，以實施管理信息安全風險的措施。新的內(nèi)容是，現(xiàn)在必須定義流程標準。流程控制必須按照這些標準來實施。

此外，在以下條款中還做了相當小的澄清和說明。

對第5.3條進行了補充，明確要求在組織內(nèi)公布與信息安全有關(guān)的角色的責任和權(quán)限。

第7.4條規(guī)定了有關(guān)ISMS的內(nèi)部和外部溝通的需要。除了仍然適用的關(guān)于 "什么"、"何時 "和 "與誰 "的規(guī)定外，溝通的方式是對以前要求的一種可行的簡化。

第9.2條內(nèi)部審計和第9.3條管理評審已經(jīng)根據(jù)統(tǒng)一結(jié)構(gòu)進行了調(diào)整。第9.2條現(xiàn)在被細分為9.2.1和9.2.2，第9.3條被分為三個子條款9.3.1、9.3.2和9.3.3。

第10.1條和第10.2條的結(jié)構(gòu)順序已經(jīng)根據(jù)統(tǒng)一結(jié)構(gòu)進行了調(diào)整。在第10.1條中，前瞻性的持續(xù)改進方面現(xiàn)在先于第10.2條中的不合格品和糾正措施的回顧性處理，在內(nèi)容上沒有任何進一步的變化。這一調(diào)整強調(diào)了持續(xù)改進過程（CIP）的重要性。

另一項澄清涉及到信息安全風險處理措施的選擇，第6.1.3c)條。這些措施的定義要考慮到風險評估的結(jié)果，并與附錄A的控制措施相比較。該方法保持不變。然而，以前的ISO 27001中的解釋性說明提到了附件A，要求它包含一個全面的控制目標和控制措施的清單。

在新的ISO/IEC 27001:2022中，對附件A的提及可以理解為一份可能的信息安全控制清單，它更加開放，因此適用性更強。

簡而言之，ISO/IEC 27001:2022的附件A仍應(yīng)被視為一個整體，作為條款6.1.3 c)中強制性要求的一部分，但其中包含的一系列單獨的信息安全措施可以由用戶更靈活地選擇、設(shè)計和擴展。ISO/IEC 27001的新版本在此強調(diào)了管理系統(tǒng)框架對組織特定控制措施集的開放。

ISO/IEC 27001:2022的新附件A

ISO/IEC 27001:2022的規(guī)范性附件A中可能的信息安全（IS）控制清單與ISO/IEC 27002:2022的內(nèi)容相同。一般安全控制的目錄已于2022年2月公布。因此，ISO/IEC 27001:2022的附件A的變化在一段時間內(nèi)是可以預(yù)見的。此前，附件A包括總共114項控制措施，這些措施可用于解決組織在14個條款中的35個控制目標下的信息安全風險。

除了新的ISO/IEC 27001:2022取消了控制目標外，附件A中的信息安全控制措施已經(jīng)被修訂，更新，并以一些新的控制措施進行補充和重組。

附件A原來的14個條款現(xiàn)在集中在以下4個主題上。

A.5 組織控制（包括37項控制）。

A.6 個人控制（包括8項控制）。

A.7 物理控制（有14項控制措施）

A.8 技術(shù)控制（包括34項控制）。

新版ISO/IEC 27001:2022的附件A現(xiàn)在共包括93項控制，其中以下11項是新的控制。

A.5.7 威脅情報

A.5.23 使用云服務(wù)的信息安全

A.5.30 業(yè)務(wù)連續(xù)性的ICT準備情況

A.7.4 物理安全監(jiān)控

A.8.9 配置管理

A.8.10 信息的刪除

A.8.11 數(shù)據(jù)屏蔽

A.8.12 防止數(shù)據(jù)泄漏

A.8.16 活動監(jiān)控

A.8.23 網(wǎng)絡(luò)過濾

A.8.28 安全編碼

雖然ISO/IEC 27001:2022的附件A僅限于命名控制，但ISO/IEC 27002:2022實施指南提供了進一步的分類選項。在那里，每個控制被分配了五個屬性，允許對它們有不同的看法和觀點。這些屬性或其屬性值可用于過濾、排序或為不同的組織視圖顯示。

這五個屬性是：

控制類型是一個屬性，用于從一個措施何時以及如何改變與信息安全事件發(fā)生有關(guān)的風險的角度來看待控制。

信息安全屬性是一個屬性，用于從措施旨在支持什么保護目標的角度來看待控制。

網(wǎng)絡(luò)安全概念是從它們?nèi)绾斡成涞絀SO/IEC TS 27110中描述的網(wǎng)絡(luò)安全框架的角度來看待控制。

操作能力從其操作信息安全能力的角度考慮控制，并支持用戶對措施的實際看法。

安全領(lǐng)域是一個屬性，允許從四個信息安全領(lǐng)域的角度來看待控制措施。

此次更新對您的認證意味著什么？

新的和改進的ISO/IEC 27001版本已于2022年10月25日發(fā)布。這導(dǎo)致標準用戶的過渡時間和期限如下。

?根據(jù)ISO/IEC 27001:2022的認證準備情況

-> 可能從2023年6月至7月

?根據(jù)原ISO 27001:2013進行初始/再認證審核的最后日期
-> 新的ISO/IEC 27001:2022發(fā)布后18個月

?所有現(xiàn)有證書過渡到新的ISO/IEC 27001:2022
-> 3年，與
ISO/IEC 27001:2022發(fā)布月的最后一天有關(guān)（2025年10月）。

ISO 27001:2022的新版總結(jié)

新的ISO/IEC 27001:2022已經(jīng)出版，這標志著3年過渡期的開始。

總的來說，主要的創(chuàng)新有以下幾點

?管理體系與協(xié)調(diào)結(jié)構(gòu)的一致性。

?強調(diào)過程導(dǎo)向、其相互作用和標準。

?簡化和精簡控制措施的分類，將其分為專題塊。

?與當前組織方法和相關(guān)威脅相一致的當代措施。

?使控制措施與各種風險管理方法相一致的屬性，包括全球網(wǎng)絡(luò)安全框架。

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！推送旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除！

本文網(wǎng)址：http://m.cpb92.com/news/837.html

關(guān)鍵詞：濟南信息安全管理體系認證,濟南信息技術(shù)管理體系認證,濟南能源管理體系認證

上一篇：干貨 | ISO各大體系速覽，值得收藏！
下一篇：信息安全管理體系與信息技術(shù)服務(wù)管理體系的區(qū)別與聯(lián)系

日韩在线视频网站_日韩一二区中文字幕有码视频_日韩天堂欧美a在线_日韩欧美一区二区三区在线播放_日韩精品电影亚洲一区_日韩精品无码人成中字幕_国产男生夜间福利免费网站

行業(yè)動態(tài)

熱門關(guān)鍵詞

聯(lián)系我們