ISO/IEC 27001新版本发布

2022年版的信息安全管理体系(ISMS)标准使企业能够提高对当前风险状况的了解并实施必要的安全控制。

信息安全问题被许多公司关注。在面对越来越多的云和自动化技术应用、人工智能、网络安全、隐私、恶意软件和勒索软件情况下,公司被迫需要处理新的可能发生的场景。为应对新的可能发生的场景使得公司需要重新评估目前的风险状况,并采用积极且结构化的方式管理新的威胁。

DNV全球ICT技术经理Nanda Kumar Shamanna表示:“上一版本标准出台于2013年。2013年后世界发生了许多变化。新版本提供了必要的安全控制和指导,帮助企业建立对其如何保护业务关键资产的信任,从而广受欢迎。”

2022年版的主要变化

变化主要是关于附录A中的信息安全控制,与今年2月份已经发布的ISO/IEC 27002:2022相呼应。新版本为应对公司面临的新场景,针对安全控制措施增加了11项,更新了58项,合并了24项。更新了控制的语言描述以及ISO/IEC 27002中的指南,以帮助公司管理风险,确保没有遗漏任何内容并及时跟进。除控制方面的变化外,ISO/IEC 27001还与ISO高层结构(HLS)的最新更新进行了重新调整。然而,因2013年版是第一批采用HLS的标准之一,这些变化可以看作是微小的。

该管理体系中受到影响的主要方面为领导、企业安全、IT职能和其他支持职能。对于服务提供商来说,交付也会受到影响。

Nanda Kumar Shamanna表示:“由于对安全控制进行了更新,新版本能够实现更有效的风险管理。为公司重新评估当前的风险状况和重新建立安全控制提供了一种结构化的方法。”

转版时间为3年,现有证书需要在2025年11月前转版到新版本。