马小姐13077875505
当前位置:首页>>项目落地案例>>信息安全及网络安全信息安全及网络安全
ISO/IEC 27001:2022 新版助推数字化安全信任
发布时间:2022-11-19 14:25
ISO/IEC 27001:2022 新版助推数字化安全全信任
数字化经济的高速发展成为当前组织发展的商机,信息安全管理体系ISO/IEC 27001已成为当前众多互联网行业、汽车行业和半导体、通讯行业广泛接纳和采用的信息安全最佳实践。
ISO/IEC 27001:2013以组织风险评估为基石,运用PDCA过程方法和风险管理思维(BRT),通过适用性声明(SOA)中的信息安全控制措施,通过管理的技术的管理手段,帮助组织解决信息安全痛点,实现组织业务可用和保密及完整性信息安全目标。
云技术的快速发展,公有云服务成为组织的业务和交付的首选,当前公有云服务主要有三类:应用软件即服务(Saas(software as a service)/平台即服务Paas(Platform as a service)/基础设施即服务IAAS(Infrastructure as a service);
到2022年11月国家集中出台信息安全法规如《个人信息保护法》《数据安全法》,《个人信息保护认证实施规则》,标志国家的信息安全法规从启蒙阶段到成熟阶段;
2022年10月25日ISO/IEC 27001:2013正式升级为ISO/IEC 27001:2022。新标准适用了当前数字经济发展中云安全和个人敏感信息保护的管理需求,从被动技术和管理保护控制引导主动识别、保护、检测、响应和恢复。
有助于解决组织面临日益复杂的信息安全风险和挑战,提高数字化信任以确保组织在数字代时代下业务安全与连续性,新版标准没有重大的技术变化。但修订版引入了几个关键的商业利益,包括:
新版标准主要有以下6点关键变化:
变化1:标题的变化,适用数字化时代各种场景
标题由《信息技术-安全技术-信息安全管理体系-要求》变为《信息安全-网络安全和隐私保护-信息安全管理体系-要求》;满足如ISO27017,ISO27018 ISO27701认证的前提是组织事先要通过ISO/IEC 27001:2022认证;
变化2:附录A进行优化
对控制措施归纳成组织、人员、物理和技术4个方面,逻辑性更强,并引用了ISO/IEC 27002:2022中描述的信息安全控制措施,相比旧版本次新增11项,更新58项,合并24项,强化云安全和个人敏感信息保护控制措施,
融合软件开发和运维过程安全的生命周期关键流程(如:配置管理、开发的)
变化3:条款中的措辞修正
修改了部分条款中的措辞,以消除存在的潜在歧义,如使用“外部提供的过程、产品和服务”以取代原标准第8.1条款中的“外包过程,同ISO9001描述中相关条款保持一致。
第10条款-改进的两个子条款交换顺序,同其他管理体系保持一致;
变化4:增加新的子条款,同其他管理体系保持一致
|
新增子条款(ISO/IEC 27001:2022) |
|
|
6.3 |
变更的规则 |
|
9.2.1 |
总则 |
|
9.2.2 |
内部审核方案 |
|
9.3.1 |
总则 |
|
9.3.2 |
管理评审输入 |
|
9.3.3 |
管理评审结果 |
变化5: 术语和引用相关文件版本更新
术语和引用列出的相关文件进行版本更新,例如ISO/IEC 27002:2022和ISO 31000:2018均引用了最新版;
变化6: 术语和引用更精准的描述
对原标准ISO/IEC 27001:2013中的高层结构、核心文本、通用术语和核心定义进行了更精准的描述。
----------------------------------------------------------------------------------------------------------------------------------------
ISO/IEC 27001:2022 过渡时间线
新版标准ISO/IEC 27001:2022于2022年10月25日正式发布,新旧标准过渡期为3年,2023年10 月24日过渡期至 2025 年 10 月25日。
--2022年10月发布 ISO/IEC 27001:2022
--2022.10-2023.10新的和现有的认证仍然可以根据ISO/IEC 27001:2013评估
时间节点2023.10.24
--2023年10月24日之后,将不再对 ISO/IEC 27001:2013进行初始与再认证审核
--时间节点2025年10月25日,所有 ISO/IEC 27001:2013认证都必须失效,或者撤回时间不得晚于2025年10月25日
需要进行转版的获证客户或正计划建立信息安全管理体系的组织,中翔证检在第一时间为其提供的新版标准解读支持,助企业顺利实现新版信息安全管理体系认证目标。
--------------------------------------------------------------------------------------------------------------------------------------
关于中标咨询:
中标咨询,管理团队在信息与通讯技术(ICT)领域深耕10多年,助力企业数字化信息安全和隐私保护国际标准在中国的落地方案解决,为客户提供业务连续、云安全、隐私保护、数据安全和治理等领域标准研究和方案解决等技术支持。
可提供如:ISO/IEC27001信息安全管理体系、ISO/IEC 27701隐私信息管理体系、 ISO27017云安全管理体系,ISO27018云产品隐私信息管理体系及ISO22301业务连续性、CSA STAR 云安全联盟云标准解读培训课程、TISAX标准解读培训课程、TISAX内审员培训管理体系培训和辅导;
