信息安全管理体系标准ISO/IEC 27001为公司提供了管理风险和防范威胁的框架,以确保信息资产安全,从财务信息和知识产权到员工详细信息等。
如今,信息安全问题现已成为大多数公司密切关注的问题。随着新场景的出现,信息安全问题紧迫性正在发生变化。在面对越来越多的云和自动化技术应用、人工智能、网络安全、隐私、恶意软件和勒索病毒情况下,公司被迫以一种结构化且可信赖的方式重新评估他们的业务、主要风险和威胁以及相关利益相关者。
由于上一个版本发布于2013年,因此有必要推出一个新的版本,以帮助企业应对新的场景,并确保当前的安全控制到位。
修订后的ISO/IEC 27001:2022
新版ISO/IEC 27001:2022解决了公司需要处理的新场景。在新版ISO/IEC 27002中,主要变更内容在附件A中,新增、删除以及合并了一些安全控制。变更内容包含网络安全和隐私方面,更新了控制语言并添加了额外指导。变更内容有助于公司管理风险,确保没有遗漏并及时跟进。
最后一个版本于2013年发布,新版安全控制变更了很多内容也就不足为奇:新增11项,更新58项以及合并24项。新版本特为解决以下新情况:
- 云和自动化等数字技术的引入
- 近期,应用较多的技术
- 识别到网络安全和隐私风险
- 应对不断变化的威胁情况,如新兴的恶意软件和勒索病毒
- 与其他最佳实践保持一致,如NIST,COBIT等
- 更新控制语言的描述并新增额外指导
受变更影响的主要方面为:
- 领导
- 公司安全
- IT职能
- 其他支持职能
- 交付(服务提供商)
为遵循合规性,组织必须重新评估他们的风险评估并重新建立安全控制。
除控制方面的变化外,ISO/IEC 27001还与ISO高层结构(HLS)的最新更新进行了重新调整。这些变更基于ISO/IEC规定第一部分附件SL的最新版本(2022版)。然而,因2013年版是第一批采用HLS的标准之一,这些变化可以看作是微小的。
转版时间
新版ISO/IEC 27001于2022年10月25日发布。转版时间为三年。因此当前基于2013版标准认证的证书需要在2025年11月前转版到新版本。
转版审核可以在三年转版期的任何预定审核中进行,也可以作为特别转版期审核进行。
为转版进行准备
建议您尽早为转版审核做准备,并适当计划将所需的变化纳入您的管理体系。
建议的转版步骤:
- 了解新标准的内容和要求。重点关注修订后的标准所隐含的变化
- 确保您组织中的相关人员接受了培训并了解相关要求和关键变化
- 识别出为满足新要求而需要解决的差距,并制定实施计划
- 实施行动更新您的管理体系以满足新的要求
DNV服务
无论您是目前已获得ISO/IEC 27001认证,还是刚刚接触该标准,DNV都能支持您的信息安全管理体系认证和转版。作为世界领先的认证机构,我们的合作伙伴遍布全球,不论公司规模大小,我们都能满足您的信息安全和隐私需求。
如果您准备从2013版本转版至2022版本,我们可以通过以下方式支持您:
- 培训,帮助您了解修订情况,并对关键变化和转版过程有基本的了解
- 线上自我评估工具和现场/非现场差距评估,以衡量您的管理体系对新的要求的满足程度
- 转版审核,使您的认证与新版本标准保持一致
我们可以全方位支持您的需求。
