ISO/IEC 27001:2013 为何更新到 ISO/IEC 27001:2022?
ISO/IEC 27001为公司提供管理风险和防范威胁的网络安全框架。公司遵从此框架,有助于保证财务信息、个人数据和知识产权等信息资产安全。这包括与组织的业务和员工及其客户和供应商相关的信息。
如今每家公司都应把网络安全放在议程首位。数据泄露和勒索软件等网络安全事件经常占据头条。全球政治紧张会加剧这种情况。此外,现在大多数企业依靠云基础设施,而且如今很多国家约三分之一的员工远程工作,或至少在部分时间如此。正因为出现这些变化,组织需要在其ISMS背景下、以结构化的方式重新评估其风险和对策。由于ISO/IEC 27001:2013 在2013年发布,因此有必要发布新版 ISO/IEC 27001:2022,以帮助应对上述变化。
| 附件A | ISO/IEC 27001:2013 | ISO/IEC 27001:2022 |
|---|---|---|
| 控制项 | 114 | 93 |
| 控制域 | 13 | 4
|
ISO/IEC 27001:2022标准的名称已更新,以反映人们更加关注网络安全和隐私保护。新版本还反映了工作场所和威胁态势的变化,包括远程工作增加和云存储使用引起的变化。此外还引入五个属性值,可以分配给每个附录A控制项,使这些控制项根据指定属性进行分类。此举旨在使ISO/IEC 27001:2022与NIST出版物等其它网络安全最佳实践保持一致并彼此协同。
此外,ISO/IEC 27001:2022还进行了轻微调整,以便与ISO 9001:2015 和ISO 22301:2019等其它管理体系标准引用的ISO 高级结构保持一致。不过,这些变化是对现有要求进行澄清,而不是添加重要的新要求。
转版期及转版时间
ISO/IEC 27001:2022于2022年10月发布。转版时间是三年。为保持认证状态,所有ISO/IEC 27001:2013证书需要在2025年11月1日之前转版到ISO/IEC 27001:2022。转版审核可以在三年过渡期中的预订审核期间进行,也可以作为特别审核进行。
理想情况下,转版应宜早不宜迟,以确保在3年过渡期内完成。这样能做充分准备,从而将所需变化纳入ISMS中。
以上表述必须考虑两个过渡里程碑,详情如下:
2024年5月1日 – 此日期后,所有认证审核和再认证必须符合ISO/IEC 27001:2022。
2025年10月底 – 过渡期结束,之后ISO/IEC 27001:2013证书失效。
- 在监督审核或特别审核期间完成的ISO/IEC 27001:2022转版将需要一天的额外审核时间,并维持证书上的现有有效期。
- 在再认证审核期间完成的ISO/IEC 27001:2022转版将需要半天的额外审核时间,并使证书有效期延长三年。
- 评估ISO/IEC 27001:2022 转版的额外审核时间陈述给国际认可论坛(IAF)MD 26:2022文件:ISO/IEC 27001:2022的转版要求。因此这些要求适用于IAF认可的所有认证机构。
ISO/IEC 27001:2022转版的推荐步骤
解锁ISO/IEC 27001:2022:加入我们按需召开的网络研讨会深入了解
希望详细了解ISO/IEC 27001:2022转版或认证?请加入我们按需召开的网络研讨会,详细了解进行ISO/IEC 27001:2022认证所需步骤。
