增值的业务流程由信息和数据驱动。没有信息交流,在我们的数字经济中就没有任何东西可以发挥作用。我们的基本服务是基于关键的基础设施,其功能高度依赖于信息和数据的交换。信息安全远远延伸到我们工作和生活的现实中。因此,保护信息驱动的日常运作、关键数据和知识产权免受网络威胁,对各种规模的企业来说都是势在必行的。在这个工业化的网络攻击时代,要适应不断变化的信息安全风险,就需要采取及时和灵活的方法来建立企业的复原力。


而这正是新的ISO/IEC 27001:2022的用武之地,它注重信息安全管理的过程导向。二十多年来,ISO 27001标准一直是信息安全管理系统的既定基础,但已经老化。尽管它已经老化,但根据ISO调查,在过去的2021年,该标准能够增长,证书增加了32%。在对当代信息安全评估框架需求不断增长的背景下,新的ISO/IEC 27001:2022于2022年10月25日发布。有什么进展?

Loading...

ISO 27001:2022的新特点概述

ISO 27001描述了信息安全管理系统(简称ISMS)的框架--无论公司的组织结构、规模或方向如何,都是如此。这里的关键是风险管理。不断变化的网络威胁正在不断利用公司的新的潜在漏洞,目的是攻击和破坏信息流,从而影响业务流程。这种机制对信息安全的三个基本保护目标--保密性、完整性和可用性--产生的风险必须被识别和管理。

ISO/IEC 27001:2022的更新涉及管理这些信息安全风险的最佳实践。新的ISO/IEC 27001:2022的规范性附件A中可能的信息安全控制清单与修订后的ISO/IEC 27002:2022指南中的内容相同。该实施指南已于今年2月通过,并采用了更简单的分类法和当代安全控制。随着新的ISO/IEC 27001:2022的发布,成功的ISO标准串联27001/27002及其宝贵的建议措施再次成为最先进的标准。

ISO/IEC 27001:2022-10 -信息安全、网络安全和隐私保护 - 信息安全管理系统 - 要求
该标准的英文版本可在ISO主页上查阅。

新的ISO/IEC 27001:2022的另一个重大变化是,随着对所谓的协调结构的适应,早该提出的过程导向的要求被置于有效的ISMS的重点。有效的管理系统的基础是明确的过程和它们的相互作用,以及这些过程的目标导向标准,以便对它们进行控制。

在下文中,我们将对新版ISO 27001的三个变化领域进行仔细研究。

 

高层结构变为统一结构

从2021年5月起,以前的高层结构(HLS)将被统一结构(HS)所取代。HS是制定新的和未来修订现有ISO管理系统标准的基本结构和模板。ISO/IEC 27001:2022是首批适应HS的管理体系标准之一。与HLS相比,HS中的各种澄清、增加以及删除,对于熟悉该标准的用户来说是相当有趣的。

然而,对于ISO/IEC 27001:2022来说,可以直接看到从HS中衍生出来的重要内容。在未来,第6.3条将要求以有计划的方式实施对ISMS的修改。这一要求是其他管理系统所熟悉的,表达了对ISMS相关变更过程已经掌握的期望。例如,从以前的ISO/IEC 27001:2013过渡到新的ISO/IEC 27001:2022,可以理解为ISMS的变更,应该以有计划的方式实施其所有影响和互动。

ISO/IEC 27001:2022中的规范性变化

一个非常重要的变化是在第4.4条中增加了组织的背景,要求确定ISMS中实施和维护所需的必要过程及其相互作用。这一明确的要求使ISO/IEC 27001:2022与根据HS(HLS)的其他管理系统的最佳实践方法相一致。信息安全管理体系必须建立在既定的、可追踪的流程及其相互作用的基础上。然后围绕这些流程设计和调整附件A的信息安全控制。

第8.1条的下一个相关变化也强调了流程导向的重要性,这是所有基于HS的管理系统的共同点。组织必须将流程作为其运营规划和控制的一部分来实现,以实施管理信息安全风险的措施。新的内容是,现在必须定义流程标准。流程控制必须按照这些标准来实施。

此外,在以下条款中还做了相当小的澄清和说明。

  • 第5.3条进行了补充,明确要求在组织内公布与信息安全有关的角色的责任和权限。
  • 第7.4条规定了有关ISMS的内部和外部沟通的需要。除了仍然适用的关于 "什么"、"何时 "和 "与谁 "的规定外,沟通的方式是对以前要求的一种可行的简化。
  • 第9.2条内部审计和第9.3条管理评审已经根据统一结构进行了调整。第9.2条现在被细分为9.2.1和9.2.2,第9.3条被分为三个子条款9.3.1、9.3.2和9.3.3。
  • 第10.1条和第10.2条的结构顺序已经根据统一结构进行了调整。在第10.1条中,前瞻性的持续改进方面现在先于第10.2条中的不合格品和纠正措施的回顾性处理,在内容上没有任何进一步的变化。这一调整强调了持续改进过程(CIP)的重要性。

ISO/IEC 27001中参考附件A中控制措施的关键和明确的要求是,根据第6.1.3 c),组织特定的信息安全控制措施与附件A中的控制措施之间的比较过程,以及根据第6.1.3 d)条,编写适用性声明(SoA)。这些核心要求保持不变!

第6.1.3 c)条的信息性(非规范性)说明中提到附件A是一份可能的信息安全控制措施的清单,这表明可以从附件A的其他补充来源选择额外的措施。

 

ISO/IEC 27001:2022的新附件A

ISO/IEC 27001:2022规范性附件A中可能的信息安全(IS)控制措施的清单与ISO/IEC 27002:2022相同。一般安全控制的目录已于2022年2月公布。因此,ISO/IEC 27001:2022的附件A的变化在一段时间内是可以预见的。此前,附件A包括总共114项控制措施,这些措施可用于解决组织在14个条款中的35个控制目标下的信息安全风险。

除了新的ISO/IEC 27001:2022取消了控制目标外,附件A中的信息安全控制措施已经被修订,更新,并以一些新的控制措施进行补充和重组。

附件A原来的14个条款现在集中在以下4个主题上。

A.5 组织控制(包括37项控制)。

A.6 个人控制(包括8项控制)。

A.7 物理控制(有14项控制措施)

A.8 技术控制(包括34项控制)。

新版ISO/IEC 27001:2022的附件A现在共包括93项控制,其中以下11项是新的控制。

A.5.7 威胁情报

A.5.23 使用云服务的信息安全

A.5.30 业务连续性的ICT准备情况

A.7.4 物理安全监控

A.8.9 配置管理

A.8.10 信息的删除

A.8.11 数据屏蔽

A.8.12 防止数据泄漏

A.8.16 活动监控

A.8.23 网络过滤

A.8.28 安全编码

虽然ISO/IEC 27001:2022的附件A仅限于命名控制,但ISO/IEC 27002:2022实施指南提供了进一步的分类选项。在那里,每个控制被分配了五个属性,允许对它们有不同的看法和观点。这些属性或其属性值可用于过滤、排序或为不同的组织视图显示。

这五个属性是。

控制类型是一个属性,用于从一个措施何时以及如何改变与信息安全事件发生有关的风险的角度来看待控制。

信息安全属性是一个属性,用于从措施旨在支持什么保护目标的角度来看待控制。

网络安全概念是从它们如何映射到ISO/IEC TS 27110中描述的网络安全框架的角度来看待控制。

操作能力从其操作信息安全能力的角度考虑控制,并支持用户对措施的实际看法。

安全领域是一个属性,允许从四个信息安全领域的角度来看待控制措施。

9acfee835ff6-webinar-dqs-shutterstock_1702088602 (1).jpg
Loading...

立即观看: 新版 ISO/IEC 27001:2022 有哪些变化

ISO/IEC 27001 的新版本已于 2022 年 10 月 25 日发布,该版本根据当代信息风险进行了调整。这对标准用户意味着什么?在我们的免费网络研讨会录音中,您将了解到  

  • ISO/IEC 27001:2022 的新功能--框架和附件 A 
  • ISO/IEC 27002:2022-02 - 结构、内容、属性和标签 
  • 过渡时间表和下一步工作

ISO 27001 - 信息安全管理体系

根据ISO标准的整体管理系统 ★有效实施风险管理过程 ★持续改善安全水平

关于ISO 27001的更多信息

此次更新对您的认证意味着什么?

ISO/IEC 27001:2022 于 2022 年 10 月 25 日发布。因此,用户的过渡期限和时间范围如下:

根据 "旧 "ISO 27001:2013 进行初始/重新认证审核的最后日期  

  • 2024 年 4 月 30 日之后,DQS 将仅根据新标准 ISO/IEC 27001:2022 进行初始和重新认证审核

所有根据 "旧 "ISO/IEC 27001:2013 颁发的现有证书将过渡到新的 ISO/IEC 27001:2022 标准 

  • 自 2022 年 10 月 31 日起有 3 年过渡期
  • 根据 ISO/IEC 27001:2013 或 DIN EN ISO/IEC 27001:2017 颁发的证书最迟在 2025 年 10 月 31 日之前有效,否则必须在该日期撤销。

新的ISO/IEC 27001:2022 - 结语

新的ISO/IEC 27001:2022已经出台。这标志着3年过渡期的开始。

总的来说,主要的创新有以下几点。

  • 管理体系与协调结构的一致性。
  • 强调过程导向、其相互作用和标准。
  • 简化和精简控制措施的分类,将其分为专题块。
  • 与当前组织方法和相关威胁相一致的当代措施。
  • 使控制措施与各种风险管理方法相一致的属性,包括全球网络安全框架。
gerber-hermsdorf-werner-korall-audit dqs
Loading...

你有什么问题吗?

联系我们!

没有义务和免费。

信任和专业知识

我们的文本和手册完全由我们的标准专家或长期的审计人员撰写。如果您对文本内容或我们对作者的服务有任何疑问,请随时向我们发送电子邮件。

作者
马库斯 杰盖尔卡

DQS信息安全管理系统(ISMS)专家和ISO 9001、ISO/IEC 27001标准及德国能源工业法(EnWG)第11.1a条规定的IT安全目录的长期审核员。

Loading...