新版ISO/IEC 27001:2022的主要變化

發(fā)布日期：2023-09-08 作者：點(diǎn)擊：

新版的標(biāo)題更改為《信息安全，網(wǎng)絡(luò)安全和隱私保護(hù)— 信息安全管理系統(tǒng)—要求》。它與ISO / IEC 27002:2022《信息安全，網(wǎng)絡(luò)安全和隱私保護(hù)—信息安全控制》的標(biāo)題一致。

ISO 27001:2022的新特點(diǎn)概述

ISO 27001描述了信息安全管理系統(tǒng)（簡(jiǎn)稱ISMS）的框架--無論公司的組織結(jié)構(gòu)、規(guī)模或方向如何，都是如此。這里的關(guān)鍵是風(fēng)險(xiǎn)管理。不斷變化的網(wǎng)絡(luò)威脅正在不斷利用公司的新的潛在漏洞，目的是攻擊和破壞信息流，從而影響業(yè)務(wù)流程。這種機(jī)制對(duì)信息安全的三個(gè)基本保護(hù)目標(biāo)--保密性、完整性和可用性--產(chǎn)生的風(fēng)險(xiǎn)必須被識(shí)別和管理。

ISO/IEC 27001:2022的更新涉及管理這些信息安全風(fēng)險(xiǎn)的最佳實(shí)踐。新的ISO/IEC 27001:2022的規(guī)范性附件A中可能的信息安全控制清單與修訂后的ISO/IEC 27002:2022指南中的內(nèi)容相同。該實(shí)施指南已于今年2月通過，并采用了更簡(jiǎn)單的分類法和當(dāng)代安全控制。隨著新的ISO/IEC 27001:2022的發(fā)布，成功的ISO標(biāo)準(zhǔn)串聯(lián)27001/27002及其寶貴的建議措施再次成為最先進(jìn)的標(biāo)準(zhǔn)。

新的ISO/IEC 27001:2022的另一個(gè)重大變化是，隨著對(duì)所謂的協(xié)調(diào)結(jié)構(gòu)的適應(yīng)，過程導(dǎo)向的要求被置于有效的ISMS的重點(diǎn)。有效的管理系統(tǒng)的基礎(chǔ)是明確的過程和它們的相互作用，以及這些過程的目標(biāo)導(dǎo)向標(biāo)準(zhǔn)，以便對(duì)它們進(jìn)行控制。

在下文中，我們將對(duì)新版ISO 27001的三個(gè)變化領(lǐng)域進(jìn)行仔細(xì)研究。

高層結(jié)構(gòu)變?yōu)榻y(tǒng)一結(jié)構(gòu)

從2021年5月起，以前的高層結(jié)構(gòu)（HLS）將被統(tǒng)一結(jié)構(gòu)（HS）所取代。HS是制定新的和未來修訂現(xiàn)有ISO管理系統(tǒng)標(biāo)準(zhǔn)的基本結(jié)構(gòu)和模板。ISO/IEC 27001:2022是首批適應(yīng)HS的管理體系標(biāo)準(zhǔn)之一。與HLS相比，HS中的各種澄清、增加以及刪除，對(duì)于熟悉該標(biāo)準(zhǔn)的用戶來說是相當(dāng)有趣的。

然而，對(duì)于ISO/IEC 27001:2022來說，可以直接看到從HS中衍生出來的重要內(nèi)容。在未來，第6.3條將要求以有計(jì)劃的方式實(shí)施對(duì)ISMS的修改。這一要求是其他管理系統(tǒng)所熟悉的，表達(dá)了對(duì)ISMS相關(guān)變更過程已經(jīng)掌握的期望。例如，從以前的ISO/IEC 27001:2013過渡到新的ISO/IEC 27001:2022，可以理解為ISMS的變更，應(yīng)該以有計(jì)劃的方式實(shí)施其所有影響和互動(dòng)。

ISO/IEC 27001:2022中的規(guī)范性變化

一個(gè)非常重要的變化是在第4.4條中增加了組織的背景，要求確定ISMS中實(shí)施和維護(hù)所需的必要過程及其相互作用。這一明確的要求使ISO/IEC 27001:2022與根據(jù)HS（HLS）的其他管理系統(tǒng)的最佳實(shí)踐方法相一致。信息安全管理體系必須建立在既定的、可追蹤的流程及其相互作用的基礎(chǔ)上。然后圍繞這些流程設(shè)計(jì)和調(diào)整附件A的信息安全控制。

第8.1條的下一個(gè)相關(guān)變化也強(qiáng)調(diào)了流程導(dǎo)向的重要性，這是所有基于HS的管理系統(tǒng)的共同點(diǎn)。組織必須將流程作為其運(yùn)營(yíng)規(guī)劃和控制的一部分來實(shí)現(xiàn)，以實(shí)施管理信息安全風(fēng)險(xiǎn)的措施。新的內(nèi)容是，現(xiàn)在必須定義流程標(biāo)準(zhǔn)。流程控制必須按照這些標(biāo)準(zhǔn)來實(shí)施。

此外，在以下條款中還做了相當(dāng)小的澄清和說明。

對(duì)第5.3條進(jìn)行了補(bǔ)充，明確要求在組織內(nèi)公布與信息安全有關(guān)的角色的責(zé)任和權(quán)限。

第7.4條規(guī)定了有關(guān)ISMS的內(nèi)部和外部溝通的需要。除了仍然適用的關(guān)于 "什么"、"何時(shí) "和 "與誰 "的規(guī)定外，溝通的方式是對(duì)以前要求的一種可行的簡(jiǎn)化。

第9.2條內(nèi)部審計(jì)和第9.3條管理評(píng)審已經(jīng)根據(jù)統(tǒng)一結(jié)構(gòu)進(jìn)行了調(diào)整。第9.2條現(xiàn)在被細(xì)分為9.2.1和9.2.2，第9.3條被分為三個(gè)子條款9.3.1、9.3.2和9.3.3。

第10.1條和第10.2條的結(jié)構(gòu)順序已經(jīng)根據(jù)統(tǒng)一結(jié)構(gòu)進(jìn)行了調(diào)整。在第10.1條中，前瞻性的持續(xù)改進(jìn)方面現(xiàn)在先于第10.2條中的不合格品和糾正措施的回顧性處理，在內(nèi)容上沒有任何進(jìn)一步的變化。這一調(diào)整強(qiáng)調(diào)了持續(xù)改進(jìn)過程（CIP）的重要性。

另一項(xiàng)澄清涉及到信息安全風(fēng)險(xiǎn)處理措施的選擇，第6.1.3c)條。這些措施的定義要考慮到風(fēng)險(xiǎn)評(píng)估的結(jié)果，并與附錄A的控制措施相比較。該方法保持不變。然而，以前的ISO 27001中的解釋性說明提到了附件A，要求它包含一個(gè)全面的控制目標(biāo)和控制措施的清單。

在新的ISO/IEC 27001:2022中，對(duì)附件A的提及可以理解為一份可能的信息安全控制清單，它更加開放，因此適用性更強(qiáng)。

簡(jiǎn)而言之，ISO/IEC 27001:2022的附件A仍應(yīng)被視為一個(gè)整體，作為條款6.1.3 c)中強(qiáng)制性要求的一部分，但其中包含的一系列單獨(dú)的信息安全措施可以由用戶更靈活地選擇、設(shè)計(jì)和擴(kuò)展。ISO/IEC 27001的新版本在此強(qiáng)調(diào)了管理系統(tǒng)框架對(duì)組織特定控制措施集的開放。

ISO/IEC 27001:2022的新附件A

ISO/IEC 27001:2022的規(guī)范性附件A中可能的信息安全（IS）控制清單與ISO/IEC 27002:2022的內(nèi)容相同。一般安全控制的目錄已于2022年2月公布。因此，ISO/IEC 27001:2022的附件A的變化在一段時(shí)間內(nèi)是可以預(yù)見的。此前，附件A包括總共114項(xiàng)控制措施，這些措施可用于解決組織在14個(gè)條款中的35個(gè)控制目標(biāo)下的信息安全風(fēng)險(xiǎn)。

除了新的ISO/IEC 27001:2022取消了控制目標(biāo)外，附件A中的信息安全控制措施已經(jīng)被修訂，更新，并以一些新的控制措施進(jìn)行補(bǔ)充和重組。

附件A原來的14個(gè)條款現(xiàn)在集中在以下4個(gè)主題上。

A.5 組織控制（包括37項(xiàng)控制）。

A.6 個(gè)人控制（包括8項(xiàng)控制）。

A.7 物理控制（有14項(xiàng)控制措施）

A.8 技術(shù)控制（包括34項(xiàng)控制）。

新版ISO/IEC 27001:2022的附件A現(xiàn)在共包括93項(xiàng)控制，其中以下11項(xiàng)是新的控制。

A.5.7 威脅情報(bào)

A.5.23 使用云服務(wù)的信息安全

A.5.30 業(yè)務(wù)連續(xù)性的ICT準(zhǔn)備情況

A.7.4 物理安全監(jiān)控

A.8.9 配置管理

A.8.10 信息的刪除

A.8.11 數(shù)據(jù)屏蔽

A.8.12 防止數(shù)據(jù)泄漏

A.8.16 活動(dòng)監(jiān)控

A.8.23 網(wǎng)絡(luò)過濾

A.8.28 安全編碼

雖然ISO/IEC 27001:2022的附件A僅限于命名控制，但I(xiàn)SO/IEC 27002:2022實(shí)施指南提供了進(jìn)一步的分類選項(xiàng)。在那里，每個(gè)控制被分配了五個(gè)屬性，允許對(duì)它們有不同的看法和觀點(diǎn)。這些屬性或其屬性值可用于過濾、排序或?yàn)椴煌慕M織視圖顯示。

這五個(gè)屬性是：

控制類型是一個(gè)屬性，用于從一個(gè)措施何時(shí)以及如何改變與信息安全事件發(fā)生有關(guān)的風(fēng)險(xiǎn)的角度來看待控制。

信息安全屬性是一個(gè)屬性，用于從措施旨在支持什么保護(hù)目標(biāo)的角度來看待控制。

網(wǎng)絡(luò)安全概念是從它們?nèi)绾斡成涞絀SO/IEC TS 27110中描述的網(wǎng)絡(luò)安全框架的角度來看待控制。

操作能力從其操作信息安全能力的角度考慮控制，并支持用戶對(duì)措施的實(shí)際看法。

安全領(lǐng)域是一個(gè)屬性，允許從四個(gè)信息安全領(lǐng)域的角度來看待控制措施。

此次更新對(duì)您的認(rèn)證意味著什么？

新的和改進(jìn)的ISO/IEC 27001版本已于2022年10月25日發(fā)布。這導(dǎo)致標(biāo)準(zhǔn)用戶的過渡時(shí)間和期限如下。

?根據(jù)ISO/IEC 27001:2022的認(rèn)證準(zhǔn)備情況

-> 可能從2023年6月至7月

?根據(jù)原ISO 27001:2013進(jìn)行初始/再認(rèn)證審核的最后日期
-> 新的ISO/IEC 27001:2022發(fā)布后18個(gè)月

?所有現(xiàn)有證書過渡到新的ISO/IEC 27001:2022
-> 3年，與
ISO/IEC 27001:2022發(fā)布月的最后一天有關(guān)（2025年10月）。

ISO 27001:2022的新版總結(jié)

新的ISO/IEC 27001:2022已經(jīng)出版，這標(biāo)志著3年過渡期的開始。

總的來說，主要的創(chuàng)新有以下幾點(diǎn)

?管理體系與協(xié)調(diào)結(jié)構(gòu)的一致性。

?強(qiáng)調(diào)過程導(dǎo)向、其相互作用和標(biāo)準(zhǔn)。

?簡(jiǎn)化和精簡(jiǎn)控制措施的分類，將其分為專題塊。

?與當(dāng)前組織方法和相關(guān)威脅相一致的當(dāng)代措施。

?使控制措施與各種風(fēng)險(xiǎn)管理方法相一致的屬性，包括全球網(wǎng)絡(luò)安全框架。

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！推送旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請(qǐng)跟我們聯(lián)系刪除！

本文網(wǎng)址：http://kemard.cn/news/837.html

關(guān)鍵詞：濟(jì)南信息安全管理體系認(rèn)證,濟(jì)南信息技術(shù)管理體系認(rèn)證,濟(jì)南能源管理體系認(rèn)證

上一篇：干貨 | ISO各大體系速覽，值得收藏！
下一篇：信息安全管理體系與信息技術(shù)服務(wù)管理體系的區(qū)別與聯(lián)系

av动漫在线导航_很黄很色动态图58期_国产欧美亚洲高清_日产2021免费一二三四_日韩成人久久_青青草成人电影你懂的_日操夜操天天操_亚洲综合av一区_aⅴ亚洲欧美国产精品_少妇一级淫片

行業(yè)動(dòng)態(tài)

熱門關(guān)鍵詞

聯(lián)系我們