新版ISO/IEC 27001:2022的主要变化

王中泰

新版 ISO/IEC27001:2022 的主要变化

新版的标题更改为《信息安全，网络安全和隐私保护 — 信息安全管理系统 — 要求》。它与 ISO / IEC 27002:2022 《信息安全，网络安全和隐私保护 — 信息安全控制》的标题一致 [size=18.6667px]。

一、ISO 27001:2022的新特点概述

ISO 27001 描述了信息安全管理系统（简称 ISMS ）的框架 -- 无论公司的组织结构、规模或方向如何，都是如此。这里的关键是风险管理。不断变化的网络威胁正在不断利用公司的新的潜在漏洞，目的是攻击和破坏信息流，从而影响业务流程。这种机制对信息安全的三个基本保护目标 -- 保密性、完整性和可用性 -- 产生的风险必须被识别和管理。

ISO/IEC 27001:2022 的更新涉及管理这些信息安全风险的最佳实践。新的 ISO/IEC 27001:2022 的规范性附件 A 中可能的信息安全控制清单与修订后的 ISO/IEC 27002:2022 指南中的内容相同。该实施指南已于今年 2 月通过，并采用了更简单的分类法和当代安全控制。随着新的

ISO/IEC 27001:2022 的发布，成功的 ISO 标准串联 27001/27002 及其宝贵的建议措施再次成为最先进的标准。

新的 ISO/IEC 27001:2022 的另一个重大变化是，随着对所谓的协调结构的适应，过程导向的要求被置于有效的 ISMS 的重点。有效的管理系统的基础是明确的过程和它们的相互作用，以及这些过程的目标导向标准，以便对它们进行控制。
在下文中，我们将对新版 ISO 27001 的三个变化领域进行仔细研究。

二、高层结构变为统一结构

从 2021 年 5 月起，以前的高层结构（ HLS ）将被统一结构（ HS ）所取代。 HS 是制定新的和未来修订现有 ISO 管理系统标准的基本结构和模板。 ISO/IEC 27001:2022 是首批适应 HS 的管理体系标准之一。与 HLS 相比， HS 中的各种澄清、增加以及删除，对于熟悉该标准的用户来说是相当有趣的。

然而，对于 ISO/IEC 27001:2022 来说，可以直接看到从 HS 中衍生出来的重要内容。在未来，第 6.3 条将要求以有计划的方式实施对 ISMS 的修改。这一要求是其他管理系统所熟悉的，表达了对 ISMS 相关变更过程已经掌握的期望。例如，从以前的 ISO/IEC 27001:2013 过渡到新的 ISO/IEC 27001:2022 ，可以理解为 ISMS 的变更，应该以有计划的方式实施其所有影响和互动。

三、 ISO/IEC 27001:2022 中的规范性变化

一个非常重要的变化是在第 4.4 条中增加了组织的背景，要求确定 ISMS 中实施和维护所需的必要过程及其相互作用。这一明确的要求使 ISO/IEC 27001:2022 与根据 HS （ HLS ）的其他管理系统的最佳实践方法相一致。信息安全管理体系必须建立在既定的、可追踪的流程及其相互作用的基础上。然后围绕这些流程设计和调整附件 A 的信息安全控制。

第 8.1 条的下一个相关变化也强调了流程导向的重要性，这是所有基于 HS 的管理系统的共同点。组织必须将流程作为其运营规划和控制的一部分来实现，以实施管理信息安全风险的措施。新的内容是，现在必须定义流程标准。流程控制必须按照这些标准来实施。

此外，在以下条款中还做了相当小的澄清和说明。对第 5.3 条进行了补充，明确要求在组织内公布与信息安全有关的角色的责任和权限。

第 7.4 条规定了有关 ISMS 的内部和外部沟通的需要。除了仍然适用的关于 " 什么 " 、 " 何时 " 和 " 与谁 " 的规定外，沟通的方式是对以前要求的一种可行的简化。

第 9.2 条内部审计和第 9.3 条管理评审已经根据统一结构进行了调整。第 9.2 条现在被细分为 9.2.1 和 9.2.2 ，第 9.3 条被分为三个子条款 9.3.1 、 9.3.2 和 9.3.3 。

第 10.1 条和第 10.2 条的结构顺序已经根据统一结构进行了调整。在第 10.1 条中，前瞻性的持续改进方面现在先于第 10.2 条中的不合格品和纠正措施的回顾性处理，在内容上没有任何进一步的变化。这一调整强调了持续改进过程（ CIP ）的重要性。

另一项澄清涉及到信息安全风险处理措施的选择，第 6.1.3c) 条。这些措施的定义要考虑到风险评估的结果，并与附录 A 的控制措施相比较。该方法保持不变。然而，以前的 ISO 27001 中的解释性说明提到了附件 A ，要求它包含一个全面的 控制目标和控制措施的清单。

在新的 ISO/IEC 27001:2022 中，对附件 A 的提及可以理解为一份可能的信息安全控制清单，它更加开放，因此适用性更强。

简而言之， ISO/IEC 27001:2022 的附件 A 仍应被视为一个整体，作为条款 6.1.3 c) 中强制性要求的一部分，但其中包含的一系列单独的信息安全措施可以由用户更灵活地选择、设计和扩展。 ISO/IEC 27001 的新版本在此强调了管理系统框架对组织特定控制措施集的开放。

四、ISO/IEC 27001:2022的新附件A

ISO/IEC 27001:2022 的规范性附件 A 中可能的信息安全（ IS ）控制清单与 ISO/IEC 27002:2022 的内容相同。一般安全控制的目录已于 2022 年 2 月公布。因此， ISO/IEC 27001:2022 的附件 A 的变化在一段时间内是可以预见的。

此前，附件 A 包括总共 114 项控制措施，这些措施可用于解决组织在 14 个条款中的 35 个控制目标下的信息安全风险。

除了新的 ISO/IEC 27001:2022 取消了控制目标外，附件 A 中的信息安全控制措施已经被修订，更新，并以一些新的控制措施进行补充和重组。
附件 A 原来的 14 个条款现在集中在以下 4 个主题上。
A.5 组织控制（包括 37 项控制）。 A.6 个人控制（包括 8 项控制）。 A.7 物理控制（有 14 项控制措施） A.8 技术控制（包括 34 项控制）。
新版 ISO/IEC 27001:2022 的附件 A 现在共包括 93 项控制，其中以下 11 项是新的控制。

A.5.7 威胁情报 A.5.23 使用云服务的信息安全 A.5.30 业务连续性的 ICT 准备情况 A.7.4 物理安全监控 A.8.9 配置管理 A.8.10 信息的删除 A.8.11 数据屏蔽 A.8.12 防止数据泄漏 A.8.16 活动监控 A.8.23 网络过滤 A.8.28 安全编码
虽然 ISO/IEC 27001:2022 的附件 A 仅限于命名控制，但 ISO/IEC 27002:2022 实施指南提供了进一步的分类选项。在那里，每个控制被分配了五个属性，允许对它们有不同的看法和观点。这些属性或其属性值可用于过滤、排序或为不同的组织视图显示。

这五个属性是：
控制类型是一个属性，用于从一个措施何时以及如何改变与信息安全事件发生有关的风险的角度来看待控制。
信息安全属性是一个属性，用于从措施旨在支持什么保护目标的角度来看待控制。
网络安全概念是从它们如何映射到 ISO/IEC TS 27110 中描述的网络安全框架的角度来看待控制。
操作能力从其操作信息安全能力的角度考虑控制，并支持用户对措施的实际看法。
安全领域是一个属性，允许从四个信息安全领域的角度来看待控制措施。

此次更新对您的认证意味着什么？

新的和改进的 ISO/IEC 27001 版本已于 2022 年 10 月 25 日发布。这导致标准用户的过渡时间和期限如下。 ? 根据 ISO/IEC 27001:2022 的认证准备情况
-> 可能从 2023 年 6 月至 7 月
? 根据原 ISO 27001:2013 进行初始 / 再认证审核的最后日期
-> 新的 ISO/IEC 27001:2022 发布后 18 个月 ? 所有现有证书过渡到新的 ISO/IEC 27001:2022
-> 3 年，与
ISO/IEC 27001:2022 发布月的最后一天有关（ 2025 年 10 月）。

五、 ISO 27001:2022 的新版总结

新的 ISO/IEC 27001:2022 已经出版，这标志着 3 年过渡期的开始。

总的来说，主要的创新有以下几点

管理体系与协调结构的一致性。

强调过程导向、其相互作用和标准。

简化和精简控制措施的分类，将其分为专题块。

与当前组织方法和相关威胁相一致的当代措施。

使控制措施与各种风险管理方法相一致的属性，包括全球网络安全框架。