信息安全认证:ISO/IEC 27001:2022新版标准预计2022年10月对外发布
ISO/IEC 27002:2022已于2022年2月15日发布,为使ISO/IEC 27001的附录A与ISO/IEC 27002:2022一致,ISO/IEC 27001新版即将发布。
ISO/IEC FDIS 27001(终版草案稿)已于近日发布,并发给所有ISO成员机构进行投票,投票将于2022年9月22日结束。新版标准预计在2022年10月对外公布,相关企业需引起重视。
1
标题的变化
FDIS版的标题改为《信息安全、网络安全和隐私保护—信息安全管理体系—要求》,它与ISO/IEC 27002:2022的标题《信息安全、网络安全和隐私保护—信息安全控制》一致。
2
条款编号的变化
2.1 在ISO/IEC FDIS 27001中引入了新的子条款
新的子条款 |
|
6.3 |
变化的规划 |
9.2.1 |
总则 |
9.2.2 |
内部审核方案 |
9.3.1 |
总则 |
9.3.2 |
管理评审输入 |
9.3.3 |
管理评审结果 |
新的子条款的引入进一步协调了与其他管理体系标准的文件结构,如ISO 9001:2015、ISO 22301:2019。
2.2 两个子条款的顺序是互换的
ISO/IEC FDIS 27001 |
ISO/IEC 27001:2013 |
||
子条款 |
子条款 |
||
10.1 |
持续改进 |
10.1 |
不符合及纠正措施 |
10.2 |
不符合及纠正措施 |
10.2 |
持续改进 |
尽管如此,各分项中的要求没有变化。
3
新文本的变化
3.1 在ISO/IEC FDIS 27001中引入了新的文本。
条款 |
新文本 |
SGS专家解析 |
|
4.2 |
了解相关方的需求和期望 |
该组织应确定: a) ...... b) ...... c) 这些要求中的哪些将通过信息安全管理体系来解决。 |
/ |
4.4 |
信息安全管理制度 |
该组织应建立、实施、维护并持续改进信息安全管理体系。包括所需的过程和它们之间的相互作用。按照...... |
这些文本也包括在其他管理体系标准中,例如:ISO 9001:2015, ISO 22301:2019。 |
6.2 |
信息安全目标和实现这些目标的规划 |
信息安全目标应。 a) ......; b) ......; c) ......; d) 被监测; e) ......; f) ......; g) 可作为文件信息提供。 |
对于d),新的文本也包括在其他管理体系标准中,例如:ISO 9001:2015, ISO 22301:2019。
对于g),它与同一条款中的 "组织应保留有关信息安全目标的文件信息 "的要求重复。据推测,它将在最终版本中被删除。 |
7.4 |
沟通 |
该组织应确定是否需要......沟通 ......,包括: a) ......; b) ......; c) ......; d) 如何沟通。 |
同时,ISO/IEC 27001:2013的第7.4条要求: d) 由谁负责沟通; e) 影响沟通的过程; 被删除。 |
8.1 |
运行规划和控制 |
该组织应通过以下方式计划、实施和控制流程......。 · 为这些过程制定标准; · 根据标准实施对过程的控制。 |
新的要求也包括在其他管理体系标准中,例如:ISO 9001:2015, ISO 22301:2019。 |
9.1 |
监测、测量、分析和评价 |
该组织应确定: a) ......; b) ...... 所选择的方法应产生可比较和可重复的结果,才能被视为有效; c) ......; |
这是ISO/IEC 27001:2013条款9.1.b)中的一个备注。 |
9.3.2 |
管理评审输入 |
管理评审应包括对以下方面的考虑。 a) ......; b) ......; c) 与信息安全管理体系有关的有关各方的需求和期望的变化; d) ......; |
这些文本也包括在其他管理体系标准中,例如:ISO 9001:2015, ISO 22301:2019。 |
虽然增加了新的文本,并重新安排了一些文本,但它们只是澄清了要求,并没有给标准增加新的要求。
4
附录A的变化
附录A的标题改为 "信息安全控制措施参考"。另外,控制措施也进行了修订,用来与ISO/IEC 27002: 2022保持一致。
然而,与2013年版本的情况一样,只有控制的描述来自于ISO/IEC 27002: 2022。ISO/IEC 27002: 2022中的其他元素,如控制的目的和属性,并没有包括在ISO/IEC FDIS 27001附录A中。实施ISO/IEC 27001的组织应参考该指导标准,以更好地理解信息安全控制。
5
其他变化
条款 |
ISO/IEC FDIS 27001 |
ISO/IEC 27001:2013 |
SGS专家解析 |
4.1 理解组织及其环境 |
注:确定这些问题是指建立组织的外部和内部环境 考虑在 ISO 31000:2018第5.4.1条 |
注:确定这些问题是指建立组织的外部和内部环境 考虑在 ISO 31000:2009第5.3条 |
备注中对ISO 31000的引用是根据新版的ISO 31000更新的。 |
5.1 领导和承诺 |
注:"本文件中提到的 "活动 "可被广义地解释为指那些对组织存在的目的具有核心意义的活动。" |
/ |
在ISO/IEC FDIS 27001第5.1条中增加了一个新的备注。 |
5.3 组织角色、责任和权力 |
最高管理层应确保与信息安全有关的角色的责任和权限在该组织内得到分配和沟通。 |
最高管理层应确保与信息安全有关的角色的责任和权限得到分配和传达。 |
FDIS规定,信息安全责任和权限应在组织内进行沟通。 与组织外各方的沟通在7.4中涉及。 |
6.1.3 信息安全风险处置 |
c) 注2:附录A包含列表中可能的信息安全控制。 |
c) 注2:附录A包含一个全面的清单控制目标和控制措施。 |
该说明改写为:附录A中所列的信息安全控制措施是一份可能的信息安全控制措施清单,而不是一份全面的清单。 它澄清了附录A的控制措施并非详尽无遗,可以包括额外的信息安全控制措施,正如该条款的第二个注释所指出的。 |
8.1 运行规划和控制 |
组织应计划、实施和控制满足要求所需的过程,并做到 实施第6条中确定的行动。 |
为了满足信息安全要求以及实现6.1 中确定的措施,组织应规划、实现和控制所需要的过程。组织还应实现为达到6. 2 中确定的信息安全目标一系列计划。 |
第8.1条中的句子被重新表述,但要求没有改变。 |
组织应确保外部提供的相关过程、产品或服务对信息安全管理体系进行控制 |
组织应确保外包过程是确定的和受控的。 |
信息安全方面的一些服务,如数据中心或云服务,被归类为外部提供而不是外包更合适。 |
|
9.1 监测、测量、分析和评价 9.2.2 内部审核方案 9.3.3 管理评审结果 |
应提供文件化信息作为结果的证据 |
组织应保留适当的文件化信息作为监视和测量结果的证据。 |
与文件信息要求有关的句子被重新措辞,但要求没有改变。 |
6
总结
正如预期的那样,附录A被修订为与ISO/IEC 27002: 2022中的信息安全控制相一致,这也是ISO/IEC FDIS 27001最重要的变化。条款4-10的变化是编辑上的小改动,以进一步与其他管理系统标准的结构保持一致。
为顺利过渡到新版本,已经通过ISO/IEC 27001:2013认证的组织需要引起重视,根据新的子条款和修改后的要求修订内部政策,并根据ISO/IEC FDIS 27001附录A修订风险评估结果和风险处置计划。