ISO/IEC 27001:2022 -信息安全, 网络安全和隐私保护-信息安全管理系统-已取代ISO/IEC 27001:2013.
新标准于2022年10月25日发布. 经过三年的过渡期, 10月31日结束, 2025, 所有ISO/IEC 27001:2013认证将过期或应撤销. 2024年4月30日以后,我们将不再对旧标准进行初始审核或再认证审核.
在过渡期间(11月1日)根据ISO/IEC 27001:2013颁发或重新颁发的证书, 2022, 至十月三十一日, 2025年)将是10月31日, 2025, 作为有效期,而不是通常的三年有效期. 过渡期结束后, 具有过期ISO/IEC 27001:2013认证的组织将被视为新客户, 须经过全面的初步审计.
过渡的选择
过渡可以通过以下三种方式之一进行:通过特别审计, 例行监督或重新认证审核.
- 特殊审计:对希望一次性完成转换的客户进行单独审计
- 常规监督:对于希望在ISO/IEC 27001:2013监督审核期间完成过渡的客户,采用渐进式方法
- 重新认证审核:针对希望在ISO/IEC 27001:2013重新认证审核期间完成转版的客户
标准的主要变化是什么?
ISO/IEC 27001:2022不是一个完整的修订版. 它的主要变化包括但不限于:
- 附件A引用了ISO/IEC 27002:2022中的信息安全控制, 其中包括关于控件标题和控件的信息
- 第6条的注释.1.3 c)进行了编辑修改, 包括删除控制目标,用“信息安全控制”代替“控制”。
- 第6条的措辞.1.3)重新组织以消除潜在的歧义
- 整个新版本, 该文件将自己称为“本文件”而不是“本标准”。
- 添加一个新项目,4.2 c), 确定通过信息安全管理体系(ISMS)处理的相关方的要求
- 增加一个新的子条款. 6.3 .变更计划, 规定组织应有计划地实施ISMS的变更
- 连贯的:在与文件信息相关的动词中保持一致的, 例如, 使用第9条中的“文件化信息应作为XXX的证据”.1, 9.2.2, 9.3.3和10.2
- 使用“外部提供的过程”, “产品或全球彩票app”来取代第8条中的“外包过程”.1、删除“外包”一词
- 第9条中各分条款的命名和重新排序.2 .内部审计.3-Management审查
- 交换第10条改进中两款的顺序
- 更新参考书目中相关文档的版本, 如ISO/IEC 27002和ISO 31000
- ISO/IEC 27001:2013中对高层结构的一些偏差, 相同的核心文本, 修订了管理体系标准(MSS)的通用术语和核心定义,以与管理体系标准的协调结构保持一致, 例如, 条款6.2 d)
注1:前两项来自ISO/IEC 27001:2013/ dam1,第三项来自ISO/IEC 27001:2013/COR 2:15. 其他变化来自于MSS的协调结构.
注2:与旧版比较, ISO/IEC 27002:2022中信息安全控制的数量从14条114项控制减少到4条93项控制. 对于ISO/IEC 27002:2022中的控制, 新增11个控件, 从现有控件中合并了24个控件, 更新了58个控件. 此外, 对控制结构进行了修正, 为每个控件引入“属性”和“目的”,而不再为一组控件使用“目标”.
下载我们的白皮书 关于关键变化.
如欲查询更多资料,请联络:
宝拉哥
全球技术产品经理
资讯保安保障
t: +44 7918 740604
关于SGS
我们是SGS——世界领先的测试、检验和认证公司. 我们被公认为可持续发展、质量和诚信的全球标杆. 我们拥有99,600名员工,在全球拥有2,600个办事处和实验室.