1. ISO/IEC27001:2022 版本2022年10月25日正式发布实施
ISO/IEC27001:2022 《信息安全 网络安全 隐私保护 信息安全管理体系 要求》标准已经于2022年10月25日正式发布,取消和替代了第二版(ISO/IEC 27001:2013),即现行的GB/T22080-2016《信息技术 安全技术 信息安全管理体系 要求》,现有获得ISO27001认证的单位将在三年内陆续完成标准的转版。
2. 新版本体现在文件架构的保持与最佳实践的进化
本次升级主要是基于信息安全最佳实践的发展进行了技术性修订,以与管理体系标准的高阶结构及ISO/IEC 27002:2022《信息安全 网络安全 隐私保护 安全管理体系 要求》保持一致。
总体来看,标准正文的框架性要求没有出现较大变化。主要增加了6.3变更控制条款,其他个别条款如9.2内部审核、9.3管理评审等要求及注解进行了更加明确的编辑性调整,以与其他管理体系协调的高阶结构的进步保持一致。
重大的变化主要是体现了最佳实践的进化,如:
a) 标准的名称发生扩展变化
标准范畴由原来的“信息技术 安全技术”扩展为“信息安全 网络安全 隐私保护”,与当前的信息技术发展趋势相匹配;
b) 规范性附录发生重大变化
附录信息安全控制逻辑进行了重新的调整,将原来14个控制域114项控制措施,结合国际公认的最佳实践进行了删减、合并与新增,调整为了组织、人员、物理和技术信息安全控制4个方向的93项控制。
3 信息安全管理体系升级换版思路
随着信息社会的发展,各种云服务、数据资产、网络安全与隐私保护等信息及其资产已经成为了人们生活中的一部分,信息安全的挑战也越来越大,但信息安全的管理理念在ISO/IEC27001:2022与ISO/IEC27002:2022中得到了传承。
由于信息安全管理体系的方式与思维没有发生变化,基于过程方法、PDCA循环与风险思维的路径仍然有效,现有组织如果升级信息安全管理体系时,管理体系文件方面变化不大,可以继续使用,但应强化跟进信息安全技术的新发展。
在现有完整的一整套管理体系下(包括但不限于方针、策略、规则、流程、程序、架构、软件硬件等),应当基于改进的原则,从主要业务流程切入,从双生命周期(信息自身从创建产生到处置灭失全生命周期、信息系统及其他资产的构思确定设计到维护退出的全生命周期)的维度分析,对现有适用性声明进行重新的评估,根据组织相关方、法律法规及其他要求,以分级的理念,结合附录要求及ISO/IEC27002:2022标准提供的控制参考,进行信息安全控制的重新识别、规定、实施、保持与改进。
全程可以用SOA(适用性声明)为线索,实现标准的升级转换。
