ISO/IEC 27001:2022 发布(中文),信息安全、网络安全和隐私保护 信息安全管理系统 要求

最新推荐文章于 2024-03-17 21:02:01 发布
最新推荐文章于 2024-03-17 21:02:01 发布
阅读量1.4w 收藏 20
点赞数 17
分类专栏: 标准快递 文章标签: iec iso 27001 中文 2022
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/std86021/article/details/127690914
版权

ISO/IEC 27001:2022 发布(中文),信息安全、网络安全和隐私保护 信息安全管理系统 要求

ISOIEC27001-2022中文信息安全、网络安全和隐私保护--数据集文档类资源-CSDN下载ISOIEC27001-2022中文信息安全、网络安全和隐私保护-更多下载资源、学习资料请访问CSDN下载频道.https://download.csdn.net/download/tgs2033/86901630

ISO/IEC 27001:2022的变化点

1、标题的变化:

ISO/IEC 27001:2022标题改为《信息安全、网络安全和隐私保护—信息安全管理体系—要求》,它与ISO/IEC 27002:2022的标题《信息安全、网络安全和隐私保护—信息安全控制》一致。

2、条款编号的变化:

1、在ISO/IEC 27001:2022中引入了新的子条款

  • 6.3 变化的规划
  • 9.2.1 总则
  • 9.2.2 内部审核方案
  • 9.3.1 总则
  • 9.3.2 管理评审输入
  • 9.3.3 管理评审结果


新的子条款的引入进一步协调了与其他管理体系标准的文件结构,如ISO 9001:2015、ISO 22301:2019。

2、两个子条款的顺序是互换的
 

ISO/IEC 27001:2022ISO/IEC 27001:2013
子条款子条款
10.1持续改进10.1不符合及纠正措施
10.2不符合及纠正措施10.2持续改进


尽管如此,各分项中的要求没有变化。

3、在ISO/IEC 27001:2022中引入了新的文本
 

条款新文本专家解读
4.2了解相关方的需求和期望该组织应确定:a) 信息安全管理体系相关方b) 这些相关方与信息安全相关的要求c) 这些要求中的哪些将通过信息安全管理体系来解决明确与信息安全管理体系之间的关系
4.4信息安全管理制度该组织应建立、实施、维护并持续改进信息安全管理体系。包括所需的过程和它们之间的相互作用。按照本标准的要求,建立、实现、维护和持续改进信息安全管理体系适当地引用了其他管理体系中的标准,例:ISO 9001:2015ISO 22301:2019
6.2信息安全目标和实现这些目标的规划信息安全目标应:a) ......;a) ......;c) ......;d) 被监测;e) ......;f) ......;g) 可作为文件信息提供。1、d)适当地引用了其他管理体系中的标准,例:ISO 9001:2015ISO 22301:20192、对信息安全目标进行制度化,促进信息安全目标的实现
 
7.4沟通组织应确定与信息安全管理体系相关的内容和外部的沟通需求,包括:a) 沟通什么;b) 何时沟通;c) 与谁沟通;d) 如何沟通;e) 谁来沟通;f) 影响沟通的过程。对“谁来沟通”和“影响沟通的过程”进行了删除,用“如何沟通”简化并明确相关的内容
8.1运行规划和控制该组织应通过以下方式计划、实施和控制流程......。为这些过程制定标准;根据标准实施对过程的控制。适当地引用了其他管理体系中的标准,例:ISO 9001:2015ISO 22301:2019
9.1监测、测量、分析和评价该组织应确定:a) ......;b) ......所选择的方法应产生可比较和可重复的结果,才能被视为有效;c) ......;这是ISO/IEC 27001:2013条款9.1.b)中的一个备注。
9.3.2管理评审输入管理评审应包括对以下方面的考虑。a) ......;b) ......;c) 与信息安全管理体系有关的有关各方的需求和期望的变化;d) ......与4.2相关方的需求和期望相结合


虽然增加了新的文本,并重新安排了一些文本,但它们只是澄清了要求,并没有给标准增加新的要求。

4、附录A的变化:附录A的标题改为 "信息安全控制措施参考"。另外,控制措施也进行了修订,用来与ISO/IEC 27002:2022保持一致。然而,与2013年版本的情况一样,只有控制的描述来自于ISO/IEC 27002: 2022。ISO/IEC 27002:2022中的其他元素,如控制的目的和属性,并没有包括在ISO/IEC 27001:2022附录A中。实施ISO/IEC 27001的组织应参考该指导标准,以更好地理解信息安全控制。

5、其他变化:
 

条款ISO/IEC 27001:2022ISO/IEC 27001:2013专家解读
4.1 理解组织及其环境注:确定这些问题是指建立组织的外部和内部环境在考虑ISO 31000:2018第5.4.1条注:确定这些问题是指建立组织的外部和内部环境考虑在ISO 31000:2009第5.3条备注中对ISO 31000的引用是根据新版的ISO 31000更新的。
5.1 领导和承诺注:"本文件中提到的 "活动 "可被广义地解释为指那些对组织存在的目的具有核心意义的活动。"/在ISO/IEC 27001:2022第5.1条中增加了一个新的备注。
5.3 组织角色、责任和权力最高管理层应确保与信息安全有关的角色的责任和权限在该组织内得到分配和沟通。最高管理层应确保与信息安全有关的角色的责任和权限得到分配和传达。ISO/IEC 27001:2022规定,信息安全责任和权限应在组织内进行沟通。与组织外各方的沟通在7.4中涉及。
6.1.3 信息安全风险处置c) 注2:附录A包含列表中可能的信息安全控制。c) 注2:附录A包含一个全面的清单控制目标和控制措施。该说明改写为:附录A中所列的信息安全控制措施是一份可能的信息安全控制措施清单,而不是一份全面的清单。它澄清了附录A的控制措施并非详尽无遗,可以包括额外的信息安全控制措施,正如该条款的第二个注释所指出的。
8.1 运行规划和控制组织应计划、实施和控制满足要求所需的过程,并做到实施第6条中确定的行动。为了满足信息安全要求以及实现6.1 中确定的措施,组织应规划、实现和控制所需要的过程。组织还应实现为达到6. 2 中确定的信息安全目标一系列计划。第8.1条中的句子被重新表述,但要求没有改变。
组织应确保外部提供的相关过程、产品或服务对信息安全管理体系进行控制组织应确保外包过程是确定的和受控的。信息安全方面的一些服务,如数据中心或云服务,被归类为外部提供而不是外包更合适。
9.1 监测、测量、分析和评9.2.2 内部审核方案9.3.3 管理评审结果应提供文件化信息作为结果的证据组织应保留适当的文件化信息作为监视和测量结果的证据。与文件信息要求有关的句子被重新措辞,但要求没有改变。


6、ISO/IEC 27001:2022变更总结

  • 本标准的结构已从上一版的14个关键领域合并为4个,即组织、人员、实体和技术;
  • 所列的控制项从114项减少到93项;
  • 删除了某些控制项;
  • 推出了11项新的控制项;
  • 合并了24项控制项;
  • 更新了58项控制项;
  • 引入了属性的概念。


正如预期的那样,附录A被修订为与ISO/IEC 27002: 2022中的信息安全控制相一致,这也是ISO/IEC 27001:2022最重要的变化。条款4-10的变化是编辑上的小改动,以进一步与其他管理系统标准的结构保持一致。
为顺利过渡到新版本,已经通过ISO/IEC 27001:2013认证的组织需要引起重视,根据新的子条款和修改后的要求修订内部政策,并根据ISO/IEC 27001:2022附录A修订风险评估结果和风险处置计划。

ISO/IEC 27001:2022转版热点问题

1、现在可以做ISO/IEC 27001:2022新版认证吗?
目前可以按照FDIS版本做差距分析,新版在本月底(10月25日)正式发布后才能进行ISO/IEC 27001:2022新版认证,新版证书的发放取决于认可机构的认可进度。

2、2024年年度评审能否按照旧版进行审核?
还可以按照旧版进行审核,但2025年9月证书就失效了,建议可以准备按照新的版本进行审核,不要拖到最后的时间。

3、目前最常用的信息安全风险评估从哪几个方面做?
信息安全风险评估在最新ISO/IEC 27001:2022标准中没有太大的变化,但在ISO/IEC 27005:2018标准中讲了风险评估的一个方法论,更强调的是从业务的角度识别业务风险及识别威胁漏洞,根据发生的可能性从量化、定量、定性算出风险的大小,然后按照企业的风险偏好,采取相应的风险控制措施。

4、不在SOA里面的也可以自己增加控制项吗?
不在SOA里面的控制项,企业也可以继续添加,实施信息安全管理控制。因为标准只是提供一个起点,企业可以从标准里面去选取适用的控制项,按照实际去补充新的控制项。在ISO/IEC 27000系列标准中,提供了其它的标准供企业选择补充新版ISO/IEC 27001:2022标准中SOA的控制项,比如BSI提供的服务,关于应用安全ISO/IEC 27034:2011标准,可以在ISO/IEC 27001:2022中追加ISO/IEC 27034:2011应用安全的控制项,或增加ISO/IEC 27040:2015存储安全的控制项。

5、正准备做ISO/IEC 27001:2013的认证,建议做哪些版本合适?
目前正准备进行认证的企业,建议可以先使用新版ISO/IEC 27001:2022做一个差距评估分析,根据差距的程度评估,选择适合的版本进行认证。评估差距不大,可直接申请新版本的认证,过程中会涉及到执行的差距不大,但会涉及少量的更新工作,如在文件的准备上,需要按照新版本更新SOA控制项。评估差距很大,可以给自己预留充足的时间窗(如1年的时间)再进行升版。

std86021
关注
  • 17
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ISO 27001 2022 中文版 范围
m0_74079109的博客
12-28 1258
作为ISOIEC成员的国家机构通过各自组织建立的技术委员会参与国际标准的制定,以处理特定领域的技术活动。包含其技术勘误ISO/IEC 27001:2013/Cor 1:2014和ISO/IEC 27001:2013/Cor。管理体系系列标准(包括ISO/IEC 27003[2],ISO/IEC 27004[3]和ISO/IECISOIEC不负责识别。c) 组织实施的活动之间的及其与其他组织实施的活动之间的接口和依赖关。有关标准的自愿性质的解释、与合格评定相关的ISO特定术语和表述的含。
ISO/IEC 27001 信息安全管理体系认证
BOTOAI
07-23 2535
一、 信息安全管理体系标准业务介绍 1、 背景介绍   信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。 安全问题所带来的损失远大于交易的帐面损失,它可分为三类,
ISO27001信息安全管理体系标准(中文版).pdf
11-19
ISO 标准——IEC 27001:2005 General This International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution. This International Standard can be used in order to assess conformance by interested internal and external parties. 本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系(ISMS)的模型。采用 ISMS 应是一个组织的战略决定。组织 ISMS 的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。上述因素和他们的支持系统预计会随事件而变化。希望根据组织的需要去扩充 ISMS 的实施,如,简单的环境是用简单的 ISMS 解决方案。本国际标准可以用于内部、外部评估其符合性。
ISO IEC 27001-2022 中文版.pdf
07-08
ISO IEC 27001_2022
ISO 27001中文标准版
04-19
信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分: BS7799-1,信息安全管理实施规则 BS7799-2,信息安全管理体系规范。 第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求
ISO IEC 27002-2022 信息安全网络安全隐私保护
03-22
ISO IEC 27002-2022 Information security, cybersecurity and privacy protection — Information security controls信息安全控制‐ ISO/IEC 27002-2022 信息安全网络安全隐私保护,为组织信息安全标准提供指导,并为信息安全管理提供最佳实践。它考虑了一个企业独特的信息安全风险环境,通过关注组织的选择、实施和管理的安全控制。适用于任何有信息安全及期望通用信息安全控制实现最佳实践的组织。
ISO27001标准中文版
03-28
信息安全管理要求ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。
ISO IEC 27001-2022信息安全网络安全隐私保护 信息安全管理系统 要求
std7879的博客
11-07 4454
6. 保持与书面文本相关动词的一致性,例如,在第9.1、9.2.2、9.3.3和10.2条款中使用“书面信息应作为XXX的证据”11. 与 ISO/IEC 27001:2013 的6.2 d)条款中的高层结构、相同的核心文本、通用术语和核心定义有一些偏差。1. 附录A引用了ISO/IEC 27002:2022中描述的信息安全控制,其中包括控制标题和控制的信息。7. 使用“外部提供的过程、产品和服务”以取代第8.1条款中的“外包过程”,并删除“外包”一词。9. 对第10条款-改进的两个子条款交换顺序。
ISO9001和ISO27001质量管理体系(详解)
一只努力搬砖的打工妹纸
02-24 6877
ISO9001:2015标准用于证实组织具有提供满足顾客要求和适用法规要求的产品的能力,目的在于增进顾客满意度。随着商品经济的不断扩大和日益国际化,为提高产品的信誉、减少重复检验、削弱和消除贸易技术壁垒、维护生产者、经销者、用户和消费者各方权益,这个第三方认证方不受产销双方经济利益支配,公证、科学,是各国对产品和企业进行质量评价和监督的通行证;作为顾客对供方质量体系审核的依据;企业有满足其订购产品技术要求的能力。
ISO IEC 27001-2022 信息安全网络安全隐私保护 信息安全管理系统 要求.pdf
11-24
ISO IEC 27001-2022 信息安全网络安全隐私保护 信息安全管理系统 要求.pdf
ISO IEC 27001-2022中文
11-24
ISO IEC 27001-2022中文
最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)-2019年整理.doc
12-14
本文档系统的介绍了ISO27001认证过程中所需要的人员管理制度、设备日常巡检制度、机房管理制度、信息安全事件管理制度、业务连续性管理制度等
ISO IEC 27001-2022 中文版
04-26
ISO IEC 27001-2022------------中文版
ISO IEC 27001-2022英文+中文 信息安全管理系统要求.pdf
11-27
ISO IEC 27001-2022英文+中文 信息安全管理系统要求.pdf
ISO/IEC 27001:2022 英文PDF原版
最新发布
04-08
ISO/IEC 27001:2022 是一个国际标准,该标准主要关注的信息安全网络安全以及隐私保护领域中的信息安全管理系统的具体要求。这一标准为组织建立、实施、维护以及持续改进信息安全管理系统(ISMS)提供了一个框架。它...
ISO27002-2022 信息技术 网络安全隐私保护 信息安全控制(中英文对照版)
03-09
ISO27002-2022 信息技术 网络安全隐私保护 信息安全控制》是国际标准化组织(ISO发布的一份重要的信息安全标准,旨在为组织提供一套全面的信息安全管理实践指南。这份标准的最新2022版在原有的基础上进行了...
信息安全管理体系27001已经发布2022新版
securitypaper的博客
03-17 477
ISO 27001信息安全管理系统(ISMS)的国际标准,旨在确保组织在设计、实施、监控、审计和改进其信息安全管理体系时能够做到持续不断的改善。
iso/iec27001:2022下载
07-24
### 回答1: ISO/IEC 27001:2022是一个关于信息安全管理系统(ISMS)的国际标准,该标准提供了组织如何建立、实施、维护和持续改进信息安全管理系统要求和指南。想要下载ISO/IEC 27001:2022标准,可以按照以下步骤进行。 首先,可以通过国际标准化组织(ISO)的官方网站访问ISO的在线商店。在该网站的搜索框中输入“ISO/IEC 27001:2022”,然后点击搜索按钮。在搜索结果中,应该会出现ISO/IEC 27001:2022标准的相关信息和选项。 其次,选择适合你的需求的选项。通常,在ISO的在线商店中,你可以选择电子版(PDF文件)或者印刷版(纸质书)来获取ISO标准。如果你需要电子版,则可以选择立即在线购买并下载PDF文件。如果你需要印刷版,则可以将其添加到购物车并进行结账过程。 然后,完成购买过程。如果你选择在线购买并下载电子版,可以通过在线支付系统完成付款并立即下载ISO/IEC 27001:2022的PDF文件。如果你选择购买印刷版,则需要提供适当的邮寄地址,并按照网站上的指示完成结账过程。 最后,根据你的选择下载或接收ISO/IEC 27001:2022标准。如果你购买了电子版(PDF文件),则可以在完成付款后立即下载。如果你购买了印刷版,需要耐心等待一段时间,以便标准能够通过邮寄服务到达你的邮寄地址。 总而言之,要下载ISO/IEC 27001:2022标准,你需要访问ISO的官方网站,搜索并选择ISO/IEC 27001:2022标准,然后按照网站的指示选择并购买适当的选项,最后下载或接收所购买的ISO标准。 ### 回答2: ISO/IEC 27001:2022是国际标准化组织(ISO)和国际电工委员会(IEC)联合制定的信息安全管理体系(ISMS)的标准。该标准提供了一套综合的指南和最佳实践,以确保组织在设计、实施、管理和改进其信息安全管理体系时,能够有效应对现有和新兴的信息安全风险。 要下载ISO/IEC 27001:2022标准,首先需要前往ISOIEC的官方网站。在首页或搜索栏中,输入ISO/IEC 27001:2022标准的名称,并点击搜索。随后,会显示相关的搜索结果,找到包含ISO/IEC 27001:2022的标准。 在标准的页面上,可能会提供多种下载选项,包括电子版(PDF格式)或印刷版。选择适合自己需求的下载选项,并点击相关链接。可能需要登录或注册才能继续下载,按照网站的指示进行操作。 在确认下载ISO/IEC 27001:2022标准之前,请确保已经了解了相关费用和使用条件。ISOIEC通常会收取费用用于购买标准,费用的具体金额和支付方式可能因地区和个人身份而有所差异。 下载完成后,可以使用PDF阅读器或打印机打开ISO/IEC 27001:2022标准。阅读标准内容并理解其中的要求和建议,以便组织能够根据自身情况进行信息安全管理体系的实施和改进。 总之,下载ISO/IEC 27001:2022标准的过程包括前往ISOIEC官方网站、搜索标准并选择适当的下载选项、完成必要的登录或注册,并支付相关费用。下载完成后,通过阅读标准内容来指导信息安全管理体系的实施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

std86021

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值