一文通晓ISO27001新版本发布的主要变化

2022版的信息安全管理体系（ISMS）标准使企业能够提高对当前风险状况的了解并实施必要的安全控制。
信息安全问题现已成为大多数公司密切关注的问题。在面对越来越多的云和自动化技术应用、人工智能、网络安全、隐私、恶意软件和勒索软件情况下，公司被迫需要处理新的可能发生的场景。为应对新的可能发生的场景使得公司需要重新评估目前的风险状况，并采用积极且结构化的方式管理新的威胁。上一版本标准出台于2013年。2013年后世界发生了许多变化。新版本提供了必要的安全控制和指导，帮助企业建立对其如何保护业务关键资产的信任，从而广受欢迎。今天擎标就给大家介绍一下本次转版的主要变化。
ISO/IEC 27001:2022的主要变化
新版ISO/IEC 27001:2022解决了公司需要处理的新场景。在新版ISO/IEC 27002中，主要变更内容在附件A中，新增、删除以及合并了一些安全控制。变更内容包含网络安全和隐私方面，更新了控制语言并添加了额外指导。变更内容有助于公司管理风险，确保没有遗漏并及时跟进。
新版本新增11项，更新58项，合并24项。众所周知，上一个版本于2013年发布，新版安全控制变更了如此多的内容也是顺应时势和市场需求产生的结果。
新版本特为解决以下新情况

• 云和自动化等数字技术的引入
• 近期，应用较多的技术
• 识别到网络安全和隐私风险
• 应对不断变化的威胁情况，如新兴的恶意软件和勒索病毒
• 与其他最佳实践保持一致，如NIST，COBIT等
• 更新控制语言的描述并新增额外指导

受变更影响的主要方面为

• 领导
• 公司安全
• IT职能
• 其他支持职能
• 交付（服务供应商）

为遵循合规性，组织必须重新评估他们的风险评估并重新建立安全控制。
除控制方面的变化外，ISO27001还与ISO高层结构（HLS）的最新更新进行了重新调整。这些变更基于ISO/IEC规定第一部分附件SL的最新版本（2022版）。然而，因2013年版是第一批采用HLS的标准之一，这些变化可以看作是微小的。
由于对安全控制进行了更新，新版本能够实现更有效的风险管理。为公司重新评估当前的风险状况和重新建立安全控制提供了一种结构化的方法。
转版时间
新版ISO/IEC 27001于2022年10月25日发布。转版时间为3年，现有证书需要在2025年11月前转版到新版本。
转版审核可以在三年转版期的任何预定审核中进行，也可以作为特别转版期审核进行。
为转版进行准备
DNV建议您尽早为转版审核做准备，并适当计划将所需的变化纳入您的管理体系。
擎标建议的转版程序：

• 了解新标准的内容和要求。重点关注修订后的标准所隐含的变化。
• 确保您组织中的相关人员接受了培训并了解相关要求和关键变化。
• 识别出为满足新要求而需要解决的差距，并制定实施计划。
• 实施行动更新您的管理体系以满足新的要求。

如果您准备从2013版本转版至2022版本，我们将会通过以下方式支持您：

• 培训，帮助您了解修订情况，并对关键变化和转版过程有基本的了解。
• 线上自我评估工具和现场/非现场差距评估，以衡量您的管理体系对新的要求的满足程度。
• 转版审核，使您的认证与新版本标准保持一致。

以上是擎标针对转版给您的介绍，无论您是目前已获得ISO27001认证，还是刚刚接触该标准，擎标都能支持您的信息安全管理体系认证和转版。我们的合作伙伴遍布全球，不论公司规模大小，我们都能满足您的信息安全和隐私需求。