ISO/IEC 27001:2022 发布(中文),信息安全、网络安全和隐私保护 信息安全管理系统 要求
ISO/IEC 27001:2022的变化点
1、标题的变化:
ISO/IEC 27001:2022标题改为《信息安全、网络安全和隐私保护—信息安全管理体系—要求》,它与ISO/IEC 27002:2022的标题《信息安全、网络安全和隐私保护—信息安全控制》一致。
2、条款编号的变化:
1、在ISO/IEC 27001:2022中引入了新的子条款
新的子条款的引入进一步协调了与其他管理体系标准的文件结构,如ISO 9001:2015、ISO 22301:2019。
2、两个子条款的顺序是互换的
| ISO/IEC 27001:2022 | ISO/IEC 27001:2013 | ||
| 子条款 | 子条款 | ||
| 10.1 | 持续改进 | 10.1 | 不符合及纠正措施 |
| 10.2 | 不符合及纠正措施 | 10.2 | 持续改进 |
尽管如此,各分项中的要求没有变化。
3、在ISO/IEC 27001:2022中引入了新的文本:
| 条款 | 新文本 | 专家解读 | |
| 4.2 | 了解相关方的需求和期望 | 该组织应确定:a) 信息安全管理体系相关方b) 这些相关方与信息安全相关的要求c) 这些要求中的哪些将通过信息安全管理体系来解决 | 明确与信息安全管理体系之间的关系 |
| 4.4 | 信息安全管理制度 | 该组织应建立、实施、维护并持续改进信息安全管理体系。包括所需的过程和它们之间的相互作用。按照本标准的要求,建立、实现、维护和持续改进信息安全管理体系 | 适当地引用了其他管理体系中的标准,例:ISO 9001:2015ISO 22301:2019 |
| 6.2 | 信息安全目标和实现这些目标的规划 | 信息安全目标应:a) ......;a) ......;c) ......;d) 被监测;e) ......;f) ......;g) 可作为文件信息提供。 | 1、d)适当地引用了其他管理体系中的标准,例:ISO 9001:2015ISO 22301:20192、对信息安全目标进行制度化,促进信息安全目标的实现 |
| 7.4 | 沟通 | 组织应确定与信息安全管理体系相关的内容和外部的沟通需求,包括:a) 沟通什么;b) 何时沟通;c) 与谁沟通;d) 如何沟通;e) 谁来沟通;f) 影响沟通的过程。 | 对“谁来沟通”和“影响沟通的过程”进行了删除,用“如何沟通”简化并明确相关的内容 |
| 8.1 | 运行规划和控制 | 该组织应通过以下方式计划、实施和控制流程......。为这些过程制定标准;根据标准实施对过程的控制。 | 适当地引用了其他管理体系中的标准,例:ISO 9001:2015ISO 22301:2019 |
| 9.1 | 监测、测量、分析和评价 | 该组织应确定:a) ......;b) ......所选择的方法应产生可比较和可重复的结果,才能被视为有效;c) ......; | 这是ISO/IEC 27001:2013条款9.1.b)中的一个备注。 |
| 9.3.2 | 管理评审输入 | 管理评审应包括对以下方面的考虑。a) ......;b) ......;c) 与信息安全管理体系有关的有关各方的需求和期望的变化;d) ...... | 与4.2相关方的需求和期望相结合 |
虽然增加了新的文本,并重新安排了一些文本,但它们只是澄清了要求,并没有给标准增加新的要求。
4、附录A的变化:附录A的标题改为 "信息安全控制措施参考"。另外,控制措施也进行了修订,用来与ISO/IEC 27002:2022保持一致。然而,与2013年版本的情况一样,只有控制的描述来自于ISO/IEC 27002: 2022。ISO/IEC 27002:2022中的其他元素,如控制的目的和属性,并没有包括在ISO/IEC 27001:2022附录A中。实施ISO/IEC 27001的组织应参考该指导标准,以更好地理解信息安全控制。
5、其他变化:
| 条款 | ISO/IEC 27001:2022 | ISO/IEC 27001:2013 | 专家解读 |
| 4.1 理解组织及其环境 | 注:确定这些问题是指建立组织的外部和内部环境在考虑ISO 31000:2018第5.4.1条 | 注:确定这些问题是指建立组织的外部和内部环境考虑在ISO 31000:2009第5.3条 | 备注中对ISO 31000的引用是根据新版的ISO 31000更新的。 |
| 5.1 领导和承诺 | 注:"本文件中提到的 "活动 "可被广义地解释为指那些对组织存在的目的具有核心意义的活动。" | / | 在ISO/IEC 27001:2022第5.1条中增加了一个新的备注。 |
| 5.3 组织角色、责任和权力 | 最高管理层应确保与信息安全有关的角色的责任和权限在该组织内得到分配和沟通。 | 最高管理层应确保与信息安全有关的角色的责任和权限得到分配和传达。 | ISO/IEC 27001:2022规定,信息安全责任和权限应在组织内进行沟通。与组织外各方的沟通在7.4中涉及。 |
| 6.1.3 信息安全风险处置 | c) 注2:附录A包含列表中可能的信息安全控制。 | c) 注2:附录A包含一个全面的清单控制目标和控制措施。 | 该说明改写为:附录A中所列的信息安全控制措施是一份可能的信息安全控制措施清单,而不是一份全面的清单。它澄清了附录A的控制措施并非详尽无遗,可以包括额外的信息安全控制措施,正如该条款的第二个注释所指出的。 |
| 8.1 运行规划和控制 | 组织应计划、实施和控制满足要求所需的过程,并做到实施第6条中确定的行动。 | 为了满足信息安全要求以及实现6.1 中确定的措施,组织应规划、实现和控制所需要的过程。组织还应实现为达到6. 2 中确定的信息安全目标一系列计划。 | 第8.1条中的句子被重新表述,但要求没有改变。 |
| 组织应确保外部提供的相关过程、产品或服务对信息安全管理体系进行控制 | 组织应确保外包过程是确定的和受控的。 | 信息安全方面的一些服务,如数据中心或云服务,被归类为外部提供而不是外包更合适。 | |
| 9.1 监测、测量、分析和评9.2.2 内部审核方案9.3.3 管理评审结果 | 应提供文件化信息作为结果的证据 | 组织应保留适当的文件化信息作为监视和测量结果的证据。 | 与文件信息要求有关的句子被重新措辞,但要求没有改变。 |
6、ISO/IEC 27001:2022变更总结:
正如预期的那样,附录A被修订为与ISO/IEC 27002: 2022中的信息安全控制相一致,这也是ISO/IEC 27001:2022最重要的变化。条款4-10的变化是编辑上的小改动,以进一步与其他管理系统标准的结构保持一致。
为顺利过渡到新版本,已经通过ISO/IEC 27001:2013认证的组织需要引起重视,根据新的子条款和修改后的要求修订内部政策,并根据ISO/IEC 27001:2022附录A修订风险评估结果和风险处置计划。
ISO/IEC 27001:2022转版热点问题
1、现在可以做ISO/IEC 27001:2022新版认证吗?
目前可以按照FDIS版本做差距分析,新版在本月底(10月25日)正式发布后才能进行ISO/IEC 27001:2022新版认证,新版证书的发放取决于认可机构的认可进度。
2、2024年年度评审能否按照旧版进行审核?
还可以按照旧版进行审核,但2025年9月证书就失效了,建议可以准备按照新的版本进行审核,不要拖到最后的时间。
3、目前最常用的信息安全风险评估从哪几个方面做?
信息安全风险评估在最新ISO/IEC 27001:2022标准中没有太大的变化,但在ISO/IEC 27005:2018标准中讲了风险评估的一个方法论,更强调的是从业务的角度识别业务风险及识别威胁漏洞,根据发生的可能性从量化、定量、定性算出风险的大小,然后按照企业的风险偏好,采取相应的风险控制措施。
4、不在SOA里面的也可以自己增加控制项吗?
不在SOA里面的控制项,企业也可以继续添加,实施信息安全管理控制。因为标准只是提供一个起点,企业可以从标准里面去选取适用的控制项,按照实际去补充新的控制项。在ISO/IEC 27000系列标准中,提供了其它的标准供企业选择补充新版ISO/IEC 27001:2022标准中SOA的控制项,比如BSI提供的服务,关于应用安全ISO/IEC 27034:2011标准,可以在ISO/IEC 27001:2022中追加ISO/IEC 27034:2011应用安全的控制项,或增加ISO/IEC 27040:2015存储安全的控制项。
5、正准备做ISO/IEC 27001:2013的认证,建议做哪些版本合适?
目前正准备进行认证的企业,建议可以先使用新版ISO/IEC 27001:2022做一个差距评估分析,根据差距的程度评估,选择适合的版本进行认证。评估差距不大,可直接申请新版本的认证,过程中会涉及到执行的差距不大,但会涉及少量的更新工作,如在文件的准备上,需要按照新版本更新SOA控制项。评估差距很大,可以给自己预留充足的时间窗(如1年的时间)再进行升版。
大约一年前,我决定确保每个包含非唯一文本的Flash通知都将从模块中的方法中获取文本。我这样做的最初原因是为了避免一遍又一遍地输入相同的字符串。如果我想更改措辞,我可以在一个地方轻松完成,而且一遍又一遍地重复同一件事而出现拼写错误的可能性也会降低。我最终得到的是这样的:moduleMessagesdefformat_error_messages(errors)errors.map{|attribute,message|"Error:#{attribute.to_s.titleize}#{message}."}enddeferror_message_could_not_find(obje
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A
我需要检查DateTime是否采用有效的ISO8601格式。喜欢:#iso8601?我检查了ruby是否有特定方法,但没有找到。目前我正在使用date.iso8601==date来检查这个。有什么好的方法吗?编辑解释我的环境,并改变问题的范围。因此,我的项目将使用jsapiFullCalendar,这就是我需要iso8601字符串格式的原因。我想知道更好或正确的方法是什么,以正确的格式将日期保存在数据库中,或者让ActiveRecord完成它们的工作并在我需要时间信息时对其进行操作。 最佳答案 我不太明白你的问题。我假设您想检查
在Ruby中是否有Gem或安全删除文件的方法?我想避免系统上可能不存在的外部程序。“安全删除”指的是覆盖文件内容。 最佳答案 如果您使用的是*nix,一个很好的方法是使用exec/open3/open4调用shred:`shred-fxuz#{filename}`http://www.gnu.org/s/coreutils/manual/html_node/shred-invocation.html检查这个类似的帖子:Writingafileshredderinpythonorruby?
电脑0x0000001A蓝屏错误怎么U盘重装系统教学分享。有用户电脑开机之后遇到了系统蓝屏的情况。系统蓝屏问题很多时候都是系统bug,只有通过重装系统来进行解决。那么蓝屏问题如何通过U盘重装新系统来解决呢?来看看以下的详细操作方法教学吧。 准备工作: 1、U盘一个(尽量使用8G以上的U盘)。 2、一台正常联网可使用的电脑。 3、ghost或ISO系统镜像文件(Win10系统下载_Win10专业版_windows10正式版下载-系统之家)。 4、在本页面下载U盘启动盘制作工具:系统之家U盘启动工具。 U盘启动盘制作步骤: 注意:制作期间,U盘会被格式化,因此U盘中的重要文件请注
在应用开发中,有时候我们需要获取系统的设备信息,用于数据上报和行为分析。那在鸿蒙系统中,我们应该怎么去获取设备的系统信息呢,比如说获取手机的系统版本号、手机的制造商、手机型号等数据。1、获取方式这里分为两种情况,一种是设备信息的获取,一种是系统信息的获取。1.1、获取设备信息获取设备信息,鸿蒙的SDK包为我们提供了DeviceInfo类,通过该类的一些静态方法,可以获取设备信息,DeviceInfo类的包路径为:ohos.system.DeviceInfo.具体的方法如下:ModifierandTypeMethodDescriptionstatic StringgetAbiList()Obt
我正在使用Postgres.app在OSX(10.8.3)上。我已经修改了我的PATH,以便应用程序的bin文件夹位于所有其他文件夹之前。Rammy:~phrogz$whichpg_config/Applications/Postgres.app/Contents/MacOS/bin/pg_config我已经安装了rvm并且可以毫无错误地安装pggem,但是当我需要它时我得到一个错误:Rammy:~phrogz$gem-v1.8.25Rammy:~phrogz$geminstallpgFetching:pg-0.15.1.gem(100%)Buildingnativeextension
需求:要创建虚拟机,就需要给他提供一个虚拟的磁盘,我们就在/opt目录下创建一个10G大小的raw格式的虚拟磁盘CentOS-7-x86_64.raw命令格式:qemu-imgcreate-f磁盘格式磁盘名称磁盘大小qemu-imgcreate-f磁盘格式-o?1.创建磁盘qemu-imgcreate-fraw/opt/CentOS-7-x86_64.raw10G执行效果#ls/opt/CentOS-7-x86_64.raw2.安装虚拟机使用virt-install命令,基于我们提供的系统镜像和虚拟磁盘来创建一个虚拟机,另外在创建虚拟机之前,提前打开vnc客户端,在创建虚拟机的时候,通过vnc
我正在使用ruby2.1.0我有一个json文件。例如:test.json{"item":[{"apple":1},{"banana":2}]}用YAML.load加载这个文件安全吗?YAML.load(File.read('test.json'))我正在尝试加载一个json或yaml格式的文件。 最佳答案 YAML可以加载JSONYAML.load('{"something":"test","other":4}')=>{"something"=>"test","other"=>4}JSON将无法加载YAML。JSON.load("
