ISO/IEC 27001:2022 正式发布

ISO /IEC 27001:2022 标准正式发布

国际标准化组织 (ISO) 已正式发布 ISO/IEC 27001:2022 标准，用来取代旧版的 ISO/IEC 27001:2013。

ISO/IEC 联合技术委员会 JTC 1/SC 27 制定信息安全领域的国际标准。 ISO/IEC JTC 1/SC 27 目前的国际秘书处是 DIN (德国标准化学会), 它是 DQS 的主要股东之一。

背景

网络犯罪近年来呈增长趋势。 根据世界经济论坛的《全球网络安全展望报告》，2021 年全球网络攻击增加了 125%。不同类型组织的高层管理人员必须采取策略法来应对与信息安全相关的风险。

为应对全球网络安全挑战并提高数字化的信任度，ISO/IEC 27001 的最新改进版本已经刚发布。 它是世界上最广受认知的信息安全管理标准。 根据 ISO 27001:2022 实施信息安全管理系统和认证将有助于组织：

• 以系统化的方式保护信息，包括纸质、云端和数字数据，
• 增强对不断演变的安全威胁和网络攻击的韧性，
• 确保数据的完整性、机密性和可用性，以及
• 向公众展示专业的组织内部管理。

ISO 27001:2022 的变更

与 ISO/IEC 27001:2013 相比，ISO/IEC 27001:2022 的主要变化包括：

• 附录 A 对 ISO/IEC 27002:2022 中控制的引用，包括控制标题和控制的信息；
• 对6.1.3 c)条注释进行了编辑性修改，包括删除控制目标，用 “信息安全控制” 代替 “控制”；
• 重新组织第 6.1.3 d) 条的措辞以消除潜在的歧义。
• 控制项数量从 14 个条款中的 114项条减少到 4个条款中的 93项。
• 其中11 个控制项是新的，24 个是从现有控制项中合并而来的，58 个是更新的；
• 对控制结构进行了修改，为每个控制项引入了“属性”和“目的”，不再为一组控制项使用“目标”。

大多数新增的信息安全控制项都与 IT 相关。 你可以按此处查看有哪些新增的控制项。

过渡期

• 根据 IAF MD26:2022，转换过渡期将在2025年10月31日后结束；
• DQS 将在完成相关认可机构要求的评估后提供针对 ISO 27001:2022 的转换审核或初次审核，预计将2023年第二季左右开始可以提供新版审核；
• 现有获证组织应策划转换审核，确保在过渡期结束前颁发新版证书；
• 所有基于 ISO/IEC 27001:2013 的认证证书将在转换过渡期结束时到期或被撤销。
• 在2023 年 10 月 31 日之后进行的ISO 27001 初次审核或再认证审核，DQS 将仅根据新的 ISO/IEC 27001:2022 标准提供。

转换审核

• 转换审核可以与既定的监督审核或再认证审核一起适当增加审核人天进行，也通过单独的特殊审核进行；
• 转换审核将包括但不限于以下内容：
  - ISO/IEC 27001:2022 的差距分析，以及对信息安全管理体系的修改需求；
  - 适用性声明 (SoA) 的更新；
  - 如果适用，更新风险处理计划；
  - 组织选择的新控制项或更改的控制项的实施和有效性；
  - 当前证书的到期日不会仅因为转换审核而改变；
• DQS 的转换审核将包括两阶段：
  - 第一阶段审核：通常是 0.5 到 1 人天的现场文件审查； 和
  - 第 2 阶段审核：通常在再认证审核或监督审核的基础上增加审核时间。
• 如果 ISO 27001:2013 认证客户未通过 ISO 27001:2022 转换审核，但符合 ISO 27001:2013的要求，则可以维持旧版标准的证书，但有效期不迟于 2025 年 10 月 31 日。

DQS 的技术支持

• DQS 是一家全球性认证机构，提供获得认可的 ISO 27001资讯安全管理体系认证和 ISO 27701:219 私隐资讯管理体系认证服务。
• DQS 学堂 正在提供公开的 ISO 27001 内部审核员课程 和 PECB 认可的 ISO 27001主任审核员自学课程，以帮助客户了解标准并为即将到来的升级做好准备。
• 随时掌握最新更新，登记 DQS 的新闻通讯，并在 领英 (LinkedIn) 上关注 DQS。