ISO 27001:2022 的换版审核
(2023年5月25日更新)
IAF MD26:2022的发布
国际认可联盟 (IAF) 发布了强制性文件 IAF MD26:2022,对 ISO/IEC 27001:2022 的转换要求作出规定。
ISO/IEC 27001:2022 已经在 2022 年10月发布。
ISO 27001:2022 的主要变化
与 ISO/IEC 27001:2013 相比,ISO/IEC 27001:2022 的主要变化包括:
- 附录 A 对 ISO/IEC 27002:2022 中控制的引用,包括控制标题和控制的信息;
- 对6.1.3 c)条注释进行了编辑性修改,包括删除控制目标,用 “信息安全控制” 代替 “控制”;
- 重新组织第 6.1.3 d) 条的措辞以消除潜在的歧义。
- 控制项数量从 14 个条款中的 114项条减少到 4个条款中的 93项。
- 其中11 个控制项是新的,24 个是从现有控制项中合并而来的,58 个是更新的;
- 对控制结构进行了修改,为每个控制项引入了“属性”和“目的”,不再为一组控制项使用“目标”。
过渡时间表
- 转换过渡期将在将于 2025 年 10 月 31 日结束;
- DQS 将在完成相关认可机构要求的评估后提供针对 ISO 27001:2022 的转换审核或初次审核,预计从 2023 年第3季度开始;
- 现有获证组织应策划转换审核,确保在过渡期结束前颁发新版证书;
- ISO 27001:2022 转换审核宜在 2025 年 7 月 31 日前进行,以确保有足够的时间在 2025 年 10 月 31 日之前完成转换过程,包括证书颁发。
- 所有基于 ISO 27001:2013 的认证证书将在2025 年 10 月 31 日后到期或被撤销。
- 2024 年 4 月 30 日后进行的 ISO 27001 初始审核或再认证审核,DQS 将仅按新版标准提供。
转换审核
- 转换审核可以与监督审核、再认证审核一起适当增加审核人天或通过单独的特殊审核进行;
- 转换审核将包括但不限于以下内容:
- ISO/IEC 27001:2022 的差距分析,以及对信息安全管理体系的修改需求;
- 适用性声明 (SoA) 的更新;
- 如果适用,更新风险处理计划;
- 组织选择的新控制项或更改的控制项的实施和有效性;
- 当前证书的到期日不会仅因为转换审核而改变。
DQS 的技术支持
- 作为全球性运作的认证机构,DQS 提供获得认可的 ISO 27001资讯安全管理体系认证和 ISO 27701:219 私隐资讯管理体系认证服务;
- DQS 学堂 正在提供公开的 ISO 27001 内部审核员课程 和 PECB 认可的 ISO 27001主任审核员课程,以帮助客户理解标准并为即将到来的升级换版做好准备;
- 随时掌握最新更新,登记 DQS 的新闻通讯,并在 领英 (LinkedIn) 上关注 DQS。
DQS通讯
了解最新资讯,订阅我们的通讯
作者
博客创作团队 DQS HK
DQS HK