化组织(ISO)于2022年10月25日发布了ISO/IEC 27001:2022《Information security, cybersecurity and privacy protection—Information security management systems — Requirements》(信息安全、网络安全和隐私保护 信息安全管理体系 要求),该标准代替了ISO/IEC 27001:2013,该标准将作为信息安全管理体系认证机构的认证依据。
此次发布的版本与2013版的大变化主要是针对附录 A (ISO/IEC 27002:2022对应的控制措施)的更新,这些变化体现了近些年来信息安全管理的变化趋势,主要变化见下:
1、附录A中列出的信息安全控制直接派生自 ISO/IEC 27002:2022第 5 章至 8 章中所列的控制并与之保持一致,并应与正文 6.1.3 结合使用。
2、新版ISO/IEC 27002:2022更新了信息安全控制集(包括指南),以反映企业和政府各个部门的发展和当前信息安全实践。相较2013版,新版标准简化(减少了21个控制措施)并增强了可用性。
针对ISO/IEC 27001:2022标准的正文部分,主要是条款细节的增补,以及语言描述的调整,包括:
1、前言中针对变化的描述;
2、在 4.2 中添加 c):这些要求中的哪些将通过信息安全管理体系得到解决;
3、在4.4中增加描述:组织应按照本文件的要求建立、实施、维护和持续改进信息安全管理体系,包括所需的过程及其相互作用;
4、在5.1中添加注释:本文档中提及的“业务”可以广义地解释为那些对组织存在的目的至关重要的活动;
5、明确了与新附录 A 保持一致;
6、6.2中增加 d)被监控;以及 g) 可作为文件化信息获得;
7、增加了新的 6.3变更计划:当组织确定需要对信息安全管理体系进行变更时,应以策划的方式进行变更;
8、7.4 沟通:从 2013 版中删除了 e);
9、8.1改写为:组织应策划、实施和控制满足要求所需的过程,并通过以下方式实施第 6 章确定的措施:
◆ 为过程建立标准;
◆ 按照准则实施过程控制。