贯标集团-湖南ISO27001建设、认证与实践【干货分享】

ISO/IEC 27002:2022和ISO/IEC27001:2022标准于2022年的2月与10月分别亮相，取代了先前的2013版。在新版本推出后的三年内，所有已获得2013版ISO27001认证的组织须要逐步完成转版认证工作，即采用2022版的标准进行认证。

相较于2013版本，新版标准引入了一系列的更新。为帮助组织深入理解这些修改，本文将详细解读新版本的变更内容，并提供一份关于如何基于新版本进行信息安全管理体系建设、优化和认证的具体指南。通过参考和实践这些策略和建议，组织将能有效地建立和完善自身的信息安全管理体系，从而顺利地获取新版ISO27001的认证。

一、2022版ISO 27002与2013版的变化和解读

（一）标准名称的变化

新版ISO 27001和ISO 27002的官方标准名称已经更新为ISO/IEC 27001:2022《信息安全、网络安全和隐私保护信息安全管理体系 要求》以及ISO/IEC 27002:2022《信息安全、网络安全和隐私保护信息安全控制》。这两个新的标题就清楚地揭示出，其覆盖的范围已从原本的“信息技术安全技术”扩展至“信息安全、网络安全和隐私保护”。这个变化体现了新标准致力于紧跟现代信息技术与信息安全的发展潮流，以便在不断进步的环境中保持其应有的领xian地位和实用性。

（二）标准内容的变化

ISO 27002:2022标准在ISO27002:2013的基础上实施了一系列的改进和优化。对于原有的14个控制领域以及114个控制项，新版标准进行了细致的审查，对部分内容进行了合并、剔除，并引入了新的控制项。
在蕞新的ISO/IEC27002:2022标准中，明确列出了93个控制项，这些控制项涵盖了4个主题和15个安全运营能力域。这些改动使得新版标准更具有针对性和实用性，更能满足现代信息安全管理的需求。
1. 15个安全运营能力域
运营能力是从组织的信息安全能力角度来看待控制的一个属性。包括治理、资产管理、信息保护、人力资源安全、物理安全、系统和网络安全、应用安全、安全配置、身份和访问管理、威胁和漏洞管理、连续性、供应商关系安全、法律和合规性、信息安全事件管理和信息安全保障。

图1：标准ISO 27002:2022的15个安全运营能力域

与旧版本的14个控制域相比，新标准的15个运营能力域有几个明显的变化，如新增了“信息保护”“安全配置”“威胁和漏洞管理”领域；部分领域的名称也有了变化，如“信息系统获取、开发和维护”改为“应用安全”、“通信安全”改为“系统和网络安全”等。
新标准的15个运营能力域与旧标准的14个控制域之间的对应关系如下表：

2. 4个主题和93个控制项
修订后的2022版将93项控制措施分配到组织、人员、物理、技术四大主题，这样方便了组织对安全控制点进行选择归类，通过归类的特定主题策略支持信息安全策略，以加强信息安全控制的实施。

图2：标准ISO 27002:2022的4个主题和93个控制项

2022版本相对于2013增加了11个安全控制项，包括：威胁情报、云服务使用的信息安全、业务连续性中ICT准备、物理安全监控、配置管理、信息删除、数据脱敏、数据防泄露、监控活动、网页过滤和安全编码。
增加的控制项主要集中在组织和技术这两大主题，组织控制主题中增加了云、威胁情报，以及业务连续性的控制点，而技术控制主题主要是增加了关于配置管理、数据安全等控制点。
新版中增加的11个控制项说明如下表：