ISO/IEC 27001:2022 《信息安全、网络安全和隐私保护-信息安全管理体系-要求》标准

2024-12-21 07:08 114.222.73.90 21次
发布企业
贯标集团商铺
认证
资质核验:
已通过营业执照认证
入驻顺企:
2
主体名称:
江苏贯标通用技术有限公司
组织机构代码:
91320106MA25WFYW9G
报价
请来电询价
所在地
南京市仙林大道10号三宝科技园1号楼B座6层
联系电话
4009992068
手机
13382035157
联系人
贯标客服  请说明来自顺企网,优惠更多
请卖家联系我
13382035157

产品详细介绍

2023年10月25日,ISO/IEC27001:2022《信息安全、网络安全和隐私保护-信息安全管理体系-要求》标准正式发布,该标准取代了现行ISO/IEC27001:2013 | GB/T22080-2016《信息技术-安全技术-信息安全管理体系-要求》。ISO/IEC27001:2022提供了更强大的信息安全控制,以帮助组织解决日益复杂的安全风险及应对全球网络安全挑战,提高数字信任确保业务连续性。

ISO/IEC27001:2022为期3年的过渡期,现有获得ISO27001认证的单位需在2025年10月25日前完成标准的转版。为顺利过渡到新版本,已经通过ISO/IEC27001:2013认证的组织需要引起重视,根据新的子条款和修改后的要求修订内部政策,并根据ISO/IEC27001:2022附录A修订风险评估结果和风险处置计划。

本次升级主要是基于信息安全zuijia实践的发展进行了技术性修订,以与管理体系标准的高阶结构及ISO/IEC27002:2022《信息安全、网络安全-隐私保护 -安全管理体系-要求》保持一致。

1)主要增加了6.3变更计划,其他个别条款:如9.2内部审计、9.3管理评审等要求及注解进行了更加明确的编辑性调整,协调了与其他管理体系标准的高阶结构保持一致。

2)对10.改进两个子条款的编号顺序(持续改进、不符合及纠正措施)进行了互换。

3)附录 A引用了ISO/IEC 27002:2022中描述的信息安全控制

附录信息安全控制逻辑进行了重新的调整,将原来14个控制域114项控制措施,结合国际公认的zuijia实践进行了更新、删减、合并与新增,调整为组织、人员、物理和技术控制4个方向的93项控制。

4)其他变化

在两个版本中,4.1 理解组织及其背景、5.1 领导力和承诺、5.3 组织角色、职责和权力、6.1.3信息安全风险处理存在细微变化。

ISO/IEC 27001:2022主要变化归纳

  • 名称变化:标准由原来的“信息技术-安全技术”扩展为“信息安全、网络安全和隐私保护”,与ISO/IEC27002:2022保持一致,与当前的信息安全发展趋势更为匹配。

  • 控制域浓缩:本标准结构将从第二版的14个合并为组织、人员、物理和技术4个方向。

  • 控制措施变更:控制措施从114项减少到93项,删除了某些控制项,推出了11项新的控制项,合并了24项控制项,更新了58项控制项。


ISO/IEC 27001:2022升级与版本转换问题

由于信息安全管理体系的方式与思维没有发生变化,基于过程方法、PDCA循环与风险思维的路径仍然有效,现有组织如果升级信息安全管理体系时,管理体系文件方面变化不大,可以继续使用,但应强化跟进信息安全技术的新发展以SOA为线索,实现标准的升级转换

在现有完整的一整套管理体系下(包括但不限于方针、策略、规则、流程、程序、架构、软件硬件等),应当基于改进的原则,从主要业务流程切入,从信息自身从创建产生到处置灭失全生命周期、信息系统及其他资产的构思确定设计到维护退出的全生命周期两个维度进行分析,对现有适用性声明进行重新的评估,根据组织相关方、法律法规及其他要求,以分级的理念,结合附录要求及ISO/IEC27002:2022标准提供的控制参考,进行信息安全控制的重新识别、规定、实施、保持与改进。

1、目前Zui常用的信息安全风险评估从哪几个方面做?
信息安全风险评估在Zui新ISO/IEC 27001:2022标准中没有太大的变化,但在ISO/IEC27005:2018标准中讲了风险评估的一个方法论,更强调的是从业务的角度识别业务风险及识别威胁漏洞,根据发生的可能性从量化、定量、定性算出风险的大小,按照企业的风险偏好,采取相应的风险控制措施。

2、不在SOA里面的也可以自己增加控制项吗?
当然可以。组织从标准里面去选取适用的控制项,按照实际去补充新的控制项,实施信息安全管理控制。

3、正准备做ISO/IEC 27001:2013的认证,建议做哪些版本合适?
目前正准备进行认证的企业,建议可以先使用新版ISO/IEC27001:2022做一个差距评估分析,根据差距的程度评估,选择适合的版本进行认证。评估差距不大,可直接申请新版的认证,过程中会涉及到执行的差距不大,但会涉及少量的更新工作,如在文件的准备上,需要按照新版本更新SOA控制项。若评估差距很大,可以给自己预留充足的时间窗(如1年的时间)再进行升版。

所属分类:中国商务服务网 / 其他认证服务
ISO/IEC 27001:2022 《信息安全、网络安全和隐私保护-信息安全管理体系-要求》标准的文档下载: PDF DOC TXT
成立日期2016年11月10日
主营产品ISO体系、17025实验室认可、CMA资质、涉密信息系统集成、ITSS、CMMI、CS、CCRC、军工三证、国军标体系、测绘资质、安防资质、承装修试-5级、特种设备生产许可证、各类生产许可证及备案、高新技术企业、双软认定、专项基金、知识产权
公司简介贯标集团成立于2000年,是经国家认证认可监督管理委员会批准、按照国际标准化组织互认制度设立的全国首家认证咨询机构,中国认证认可协会常务理事单位、认证咨询专业委员会会长单位。二十多年来专业从事各类管理体系认证、产品认证、实验室认证、军工资质、IT类资质、建工资质认定、高新企业及涉密、测绘、安防等资质认定,生产许可证、特种设备许可证及各类管理培训。集团现有客户五万余家,下设“南京贯标认证咨询有限公司 ...
公司新闻
顺企网 | 公司 | 黄页 | 产品 | 采购 | 资讯 | 免费注册 轻松建站
免责声明:本站信息由贯标集团自行发布,交易请核实资质,谨防诈骗,如有侵权请联系我们   法律声明  联系顺企网
© 11467.com 顺企网 版权所有
ICP备案: 粤B2-20160116 / 粤ICP备12079258号 / 粤公网安备 44030702000007号 / 互联网药品信息许可证:(粤)—经营性—2023—0112