ISO/IEC 27001:2022 FDIS(最终草案版)已于2022年7月28日正式发布,新版ISO/IEC 27001标准有望在今年10月发布,这将对获证组织及那些准备建立信息安全管理体系的组织带来新的启发及意义。
由于FDIS是IS前最后一个版本,也是最接近正式发型版的一个版本,下面我们就一起看一下ISO/IEC 27001: 2022 究竟将有哪些变化,以便能够尽早导入2022版并提升信息安全管理工作。
ISO/IEC 27001: 2022的变化要点:
ISO/IEC 27001:2022的最大变化莫过于针对附录 A (ISO/IEC 27002:2022对应的控制措施)的更新,这些变化体现了近些年来信息安全管理的变化趋势,也是在转版工作中任务量最大的部分:
1. 附录A中列出的信息安全控制直接派生自ISO/IEC 27002:2022第5 章至8 章中所列的控制并与之保持一致,并应与正文6.1.3 结合使用。
2. ISO/IEC 27002的第3版:ISO/IEC 27002:2022于今年2月15日发布,取代了 2013 版。新版ISO/IEC 27002:2022更新了信息安全控制集(包括指南),以反映企业和政府各个部门的发展和当前信息安全实践。相较2013版,新版标准更加的简化(减少了21个控制措施)并增强了可用性。
针对ISO/IEC 27001:2022标准的正文部分,主要是条款细节的增补,以及语言描述的调整,包括:
1. 前言中针对变化的描述;
2. 在 4.2 中添加 c):这些要求中的哪些将通过信息安全管理体系得到解决;
3. 在4.4中增加描述:组织应按照本文件的要求建立、实施、维护和持续改进信息安全管理体系,包括所需的过程及其相互作用;
4. 在5.1中添加注释:本文档中提及的“业务”可以广义地解释为那些对组织存在的目的至关重要的活动;
5. 明确了与新的附录 A 保持一致;
6. 6.2中增加 d):被监控;以及 g) 可作为文件化信息获得;
7. 增加了新的 6.3变更计划:当组织确定需要对信息安全管理体系进行变更时,应以策划的方式进行变更;
8. 7.4 沟通:从 2013 版中删除了 e);
9. 8.1改写为:组织应策划、实施和控制满足要求所需的过程,并通过以下方式实施第6 章确定的措施:
◆ 为过程建立标准;
◆ 按照准则实施过程控制。
→文件化信息应在必要的范围内可用,以确保过程已按计划进行。
→组织应控制计划的变更并评审非预期变更的后果,必要时采取措施减轻任何不利影响。
→组织应确保与信息安全管理体系相关的外部提供的过程、产品或服务受到控制。
10. 内部审计:在第 9.2.1 和 9.2.2 小节中重新组织和拆分文本;
11. 9.3 管理评审:增加了新的条款9.3.2 c) 与信息安全管理体系相关的相关方需求和期望的变化,并在两个新的子章节9.3.1 和9.3.2 下重新组织了描述;
12. 10.1 和 10.2 的编号调整。
以上是针对ISO/IEC 27001:2022 FDIS版本的变化做出的简单说明,后续还请继续关注以获得最新信息。
参考:ISO标准由ISO成员团体中被提名的专家组成起草小组,并由起草小组草拟工作草案(Work Draft;WD)。当这些草案标准成熟了,经过委员会草案(Committee Draft;CD)阶段(在此阶段在ISO成员中流传以获取分析和评价),然后是国际标准草案(Draft International Standard;DIS)阶段和最终版国际标准草案(Final Draft International Standard;FDIS)阶段,经过成员国投票后就会正式发行国际标准(International Standard;IS)。所以FDIS是IS前最后一个版本,也是最接近正式发行版的一个版本。