2022版的信息安全管理体系(ISMS)标准使企业能够提高对当前风险状况的了解并实施必要的安全控制。
信息安全问题现已成为大多数公司密切关注的问题。在面对越来越多的云和自动化技术应用、人工智能、网络安全、隐私、恶意软件和勒索软件情况下,公司被迫需要处理新的可能发生的场景。为应对新的可能发生的场景使得公司需要重新评估目前的风险状况,并采用积极且结构化的方式管理新的威胁。
DNV全球ICT技术经理Nanda Kumar Shamanna表示:“上一版本标准出台于2013年。2013年后世界发生了许多变化。新版本提供了必要的安全控制和指导,帮助企业建立对其如何保护业务关键资产的信任,从而广受欢迎。”
一、ISO/IEC 27001:2022的主要变化
新版ISO/IEC 27001:2022解决了公司需要处理的新场景。在新版ISO/IEC 27002中,主要变更内容在附件A中,新增、删除以及合并了一些安全控制。变更内容包含网络安全和隐私方面,更新了控制语言并添加了额外指导。变更内容有助于公司管理风险,确保没有遗漏并及时跟进。
新版本新增11项,更新58项,合并24项。众所周知,上一个版本于2013年发布,新版安全控制变更了如此多的内容也是顺应时势和市场需求产生的结果。
新版本特为解决以下新情况:
●云和自动化等数字技术的引入
●近期,应用较多的技术
●识别到网络安全和隐私风险
●应对不断变化的威胁情况,如新兴的恶意软件和勒索病毒
●与其他最佳实践保持一致,如NIST,COBIT等
●更新控制语言的描述并新增额外指导
受变更影响的主要方面为
●领导
●公司安全
●IT 职能
●其他支持职能
●交付(服务供应商)
为遵循合规性,组织必须重新评估他们的风险评估并重新建立安全控制。
除控制方面的变化外,ISO/IEC 27001还与ISO高层结构(HLS)的最新更新进行了重新调整。这些变更基于ISO/IEC规定第一部分附件SL的最新版本(2022版)。然而,因2013年版是第一批采用HLS的标准之一,这些变化可以看作是微小的。
Nanda Kumar Shamanna表示:“由于对安全控制进行了更新,新版本能够实现更有效的风险管理。为公司重新评估当前的风险状况和重新建立安全控制提供了一种结构化的方法。”
二、转版时间
新版ISO/IEC 27001于2022年10月25日发布。转版时间为3年,现有证书需要在2025年11月前转版到新版本。
转版审核可以在三年转版期的任何预定审核中进行,也可以作为特别转版期审核进行。
三、为转版进行准备
DNV建议您尽早为转版审核做准备,并适当计划将所需的变化纳入您的管理体系。
DNV建议的转版程序:
●了解新标准的内容和要求。重点关注修订后的标准所隐含的变化。
●确保您组织中的相关人员接受了培训并了解相关要求和关键变化。
●识别出为满足新要求而需要解决的差距,并制定实施计划。
●实施行动更新您的管理体系以满足新的要求。
来源: DNV认证及供应链管理
自主竣工验收
清洁生产审核
排污许可核查
