ISO/IEC 27001:2022 新版助推數字化安全全信任

數字化經濟的高速發展成為當前組織發展的商機，信息安全管理體系ISO/IEC 27001已成為當前眾多互聯網行業、汽車行業和半導體、通訊行業廣泛接納和采用的信息安全最佳實踐。

ISO/IEC 27001:2013以組織風險評估為基石，運用PDCA過程方法和風險管理思維（BRT）,通過適用性聲明（SOA）中的信息安全控制措施，通過管理的技術的管理手段，幫助組織解決信息安全痛點，實現組織業務可用和保密及完整性信息安全目標。

云技術的快速發展，公有云服務成為組織的業務和交付的首選，當前公有云服務主要有三類：應用軟件即服務（Saas(software as a service)/平臺即服務Paas(Platform as? a service)/基礎設施即服務IAAS(Infrastructure as a service);

到2022年11月國家集中出臺信息安全法規如《個人信息保護法》《數據安全法》，《個人信息保護認證實施規則》，標志國家的信息安全法規從啟蒙階段到成熟階段；

2022年10月25日ISO/IEC 27001:2013正式升級為ISO/IEC 27001:2022。新標準適用了當前數字經濟發展中云安全和個人敏感信息保護的管理需求，從被動技術和管理保護控制引導主動識別、保護、檢測、響應和恢復。

有助于解決組織面臨日益復雜的信息安全風險和挑戰，提高數字化信任以確保組織在數字代時代下業務安全與連續性，新版標準沒有重大的技術變化。但修訂版引入了幾個關鍵的商業利益，包括：

新版標準主要有以下6點關鍵變化：

變化1：標題的變化，適用數字化時代各種場景

標題由《信息技術-安全技術-信息安全管理體系-要求》變為《信息安全-網絡安全和隱私保護-信息安全管理體系-要求》；滿足如ISO27017,ISO27018 ISO27701認證的前提是組織事先要通過ISO/IEC 27001:2022認證；

變化2：附錄A進行優化

對控制措施歸納成組織、人員、物理和技術4個方面，邏輯性更強，并引用了ISO/IEC 27002:2022中描述的信息安全控制措施，相比舊版本次新增11項，更新58項，合并24項，強化云安全和個人敏感信息保護控制措施，

融合軟件開發和運維過程安全的生命周期關鍵流程（如：配置管理、開發的）

變化3：條款中的措辭修正

修改了部分條款中的措辭，以消除存在的潛在歧義，如使用“外部提供的過程、產品和服務”以取代原標準第8.1條款中的“外包過程，同ISO9001描述中相關條款保持一致。

第10條款-改進的兩個子條款交換順序，同其他管理體系保持一致；

變化4：增加新的子條款，同其他管理體系保持一致

變化5： 術語和引用相關文件版本更新

術語和引用列出的相關文件進行版本更新，例如ISO/IEC 27002:2022和ISO 31000:2018均引用了最新版；

變化6： 術語和引用更精準的描述

對原標準ISO/IEC 27001:2013中的高層結構、核心文本、通用術語和核心定義進行了更精準的描述。

----------------------------------------------------------------------------------------------------------------------------------------

ISO/IEC 27001:2022 過渡時間線

新版標準ISO/IEC 27001:2022于2022年10月25日正式發布，新舊標準過渡期為3年，2023年10 月24日過渡期至 2025 年 10 月25日。

--2022年10月發布 ISO/IEC 27001:2022

--2022.10-2023.10新的和現有的認證仍然可以根據ISO/IEC 27001:2013評估

時間節點2023.10.24

--2023年10月24日之后，將不再對 ISO/IEC 27001:2013進行初始與再認證審核

--時間節點2025年10月25日，所有 ISO/IEC 27001:2013認證都必須失效，或者撤回時間不得晚于2025年10月25日

需要進行轉版的獲證客戶或正計劃建立信息安全管理體系的組織，中翔證檢在第一時間為其提供的新版標準解讀支持，助企業順利實現新版信息安全管理體系認證目標。

--------------------------------------------------------------------------------------------------------------------------------------

關于中標咨詢：

中標咨詢，管理團隊在信息與通訊技術（ICT）領域深耕10多年，助力企業數字化信息安全和隱私保護國際標準在中國的落地方案解決，為客戶提供業務連續、云安全、隱私保護、數據安全和治理等領域標準研究和方案解決等技術支持。

可提供如：ISO/IEC27001信息安全管理體系、ISO/IEC?27701隱私信息管理體系、 ISO27017云安全管理體系，ISO27018云產品隱私信息管理體系及ISO22301業務連續性、CSA?STAR?云安全聯盟云標準解讀培訓課程、TISAX標準解讀培訓課程、TISAX內審員培訓管理體系培訓和輔導；