<source id="6mybp"></source>
            <video id="6mybp"></video>
        1. <video id="6mybp"></video>
              1. 您現在的位置:
                首頁
                /
                /
                認證百科

                認證百科

                新版ISO/IEC 27001:2022的主要變化

                新版的標題更改為《信息安全,網絡安全和隱私保護— 信息安全管理系統—要求》。它與ISO / IEC 27002:2022《信息安全,網絡安全和隱私保護—信息安全控制》的標題一致。 ? ISO 27001:2022的新特點概述 ISO 27001描述了信息安全管理系統(簡稱ISMS)的框架--無論公司的組織結構、規?;蚍较蛉绾?,都是如此。這里的關鍵是風險管理。不斷變化的網絡威脅正在不斷利用公司的新的潛在漏洞,目的是攻擊和破壞信息流,從而影響業務流程。這種機制對信息安全的三個基本保護目標--保密性、完整性和可用性--產生的風險必須被識別和管理。 ? ISO/IEC 27001:2022的更新涉及管理這些信息安全風險的最佳實踐。新的ISO/IEC 27001:2022的規范性附件A中可能的信息安全控制清單與修訂后的ISO/IEC 27002:2022指南中的內容相同。該實施指南已于今年2月通過,并采用了更簡單的分類法和當代安全控制。隨著新的ISO/IEC 27001:2022的發布,成功的ISO標準串聯27001/27002及其寶貴的建議措施再次成為最先進的標準。 ? 新的ISO/IEC 27001:2022的另一個重大變化是,隨著對所謂的協調結構的適應,過程導向的要求被置于有效的ISMS的重點。有效的管理系統的基礎是明確的過程和它們的相互作用,以及這些過程的目標導向標準,以便對它們進行控制。 在下文中,我們將對新版ISO 27001的三個變化領域進行仔細研究。 ? 高層結構變為統一結構 從2021年5月起,以前的高層結構(HLS)將被統一結構(HS)所取代。HS是制定新的和未來修訂現有ISO管理系統標準的基本結構和模板。ISO/IEC 27001:2022是首批適應HS的管理體系標準之一。與HLS相比,HS中的各種澄清、增加以及刪除,對于熟悉該標準的用戶來說是相當有趣的。 然而,對于ISO/IEC 27001:2022來說,可以直接看到從HS中衍生出來的重要內容。在未來,第6.3條將要求以有計劃的方式實施對ISMS的修改。這一要求是其他管理系統所熟悉的,表達了對ISMS相關變更過程已經掌握的期望。例如,從以前的ISO/IEC 27001:2013過渡到新的ISO/IEC 27001:2022,可以理解為ISMS的變更,應該以有計劃的方式實施其所有影響和互動。 ? ISO/IEC 27001:2022中的規范性變化 一個非常重要的變化是在第4.4條中增加了組織的背景,要求確定ISMS中實施和維護所需的必要過程及其相互作用。這一明確的要求使ISO/IEC 27001:2022與根據HS(HLS)的其他管理系統的最佳實踐方法相一致。信息安全管理體系必須建立在既定的、可追蹤的流程及其相互作用的基礎上。然后圍繞這些流程設計和調整附件A的信息安全控制。 ? 第8.1條的下一個相關變化也強調了流程導向的重要性,這是所有基于HS的管理系統的共同點。組織必須將流程作為其運營規劃和控制的一部分來實現,以實施管理信息安全風險的措施。新的內容是,現在必須定義流程標準。流程控制必須按照這些標準來實施。 ? 此外,在以下條款中還做了相當小的澄清和說明。 對第5.3條進行了補充,明確要求在組織內公布與信息安全有關的角色的責任和權限。 ? 第7.4條規定了有關ISMS的內部和外部溝通的需要。除了仍然適用的關于 "什么"、"何時 "和 "與誰 "的規定外,溝通的方式是對以前要求的一種可行的簡化。 ? 第9.2條內部審計和第9.3條管理評審已經根據統一結構進行了調整。第9.2條現在被細分為9.2.1和9.2.2,第9.3條被分為三個子條款9.3.1、9.3.2和9.3.3。 ? 第10.1條和第10.2條的結構順序已經根據統一結構進行了調整。在第10.1條中,前瞻性的持續改進方面現在先于第10.2條中的不合格品和糾正措施的回顧性處理,在內容上沒有任何進一步的變化。這一調整強調了持續改進過程(CIP)的重要性。 ? 另一項澄清涉及到信息安全風險處理措施的選擇,第6.1.3c)條。這些措施的定義要考慮到風險評估的結果,并與附錄A的控制措施相比較。該方法保持不變。然而,以前的ISO 27001中的解釋性說明提到了附件A,要求它包含一個全面的?控制目標和控制措施的清單。 ? 在新的ISO/IEC 27001:2022中,對附件A的提及可以理解為一份可能的信息安全控制清單,它更加開放,因此適用性更強。 ? 簡而言之,ISO/IEC 27001:2022的附件A仍應被視為一個整體,作為條款6.1.3 c)中強制性要求的一部分,但其中包含的一系列單獨的信息安全措施可以由用戶更靈活地選擇、設計和擴展。ISO/IEC 27001的新版本在此強調了管理系統框架對組織特定控制措施集的開放。 ISO/IEC 27001:2022的新附件A ISO/IEC 27001:2022的規范性附件A中可能的信息安全(IS)控制清單與ISO/IEC 27002:2022的內容相同。一般安全控制的目錄已于2022年2月公布。因此,ISO/IEC 27001:2022的附件A的變化在一段時間內是可以預見的。此前,附件A包括總共114項控制措施,這些措施可用于解決組織在14個條款中的35個控制目標下的信息安全風險。 ? 除了新的ISO/IEC 27001:2022取消了控制目標外,附件A中的信息安全控制措施已經被修訂,更新,并以一些新的控制措施進行補充和重組。 ? 附件A原來的14個條款現在集中在以下4個主題上。 ? A.5 組織控制(包括37項控制)。 A.6 個人控制(包括8項控制)。 A.7 物理控制(有14項控制措施) A.8 技術控制(包括34項控制)。 新版ISO/IEC 27001:2022的附件A現在共包括93項控制,其中以下11項是新的控制。 A.5.7 威脅情報 A.5.23 使用云服務的信息安全 A.5.30 業務連續性的ICT準備情況 A.7.4 物理安全監控 A.8.9 配置管理 A.8.10 信息的刪除 A.8.11 數據屏蔽 A.8.12 防止數據泄漏 A.8.16 活動監控 A.8.23 網絡過濾 A.8.28 安全編碼 ? 雖然ISO/IEC 27001:2022的附件A僅限于命名控制,但ISO/IEC 27002:2022實施指南提供了進一步的分類選項。在那里,每個控制被分配了五個屬性,允許對它們有不同的看法和觀點。這些屬性或其屬性值可用于過濾、排序或為不同的組織視圖顯示。 ? 這五個屬性是: ? 控制類型是一個屬性,用于從一個措施何時以及如何改變與信息安全事件發生有關的風險的角度來看待控制。 ? 信息安全屬性是一個屬性,用于從措施旨在支持什么保護目標的角度來看待控制。 ? 網絡安全概念是從它們如何映射到ISO/IEC TS 27110中描述的網絡安全框架的角度來看待控制。 ? 操作能力從其操作信息安全能力的角度考慮控制,并支持用戶對措施的實際看法。 安全領域是一個屬性,允許從四個信息安全領域的角度來看待控制措施。 ? 此次更新對您的認證意味著什么? 新的和改進的ISO/IEC 27001版本已于2022年10月25日發布。這導致標準用戶的過渡時間和期限如下; ?根據ISO/IEC 27001:2022的認證準備情況-> 可能從2023年6月至7月 ?根據原ISO 27001:2013進行初始/再認證審核的最后日期-> 新的ISO/IEC 27001:2022發布后18個月 ?所有現有證書過渡到新的ISO/IEC 27001:2022-> 3年,與ISO/IEC 27001:2022發布月的最后一天有關(2025年10月)。 ? ISO 27001:2022的新版總結 新的ISO/IEC 27001:2022已經出版,這標志著3年過渡期的開始。 總的來說,主要的創新有以下幾點 ?管理體系與協調結構的一致性。 ?強調過程導向、其相互作用和標準。 ?簡化和精簡控制措施的分類,將其分為專題塊。 ?與當前組織方法和相關威脅相一致的當代措施。 ?使控制措施與各種風險管理方法相一致的屬性,包括全球網絡安全框架。
                點擊查看更多
                上一頁
                1
                2
                ...
                5

                熱門資訊

                imgboxbg

                企業視頻

                “漢通“產品嚴格執行國家及行業標準,”漢通“牌涂履鋼塑管材具有適用性、方便性、先進性的特點

                二維碼

                分享

                電話

                咨詢電話:027-82269056   13907169983

                郵箱

                企業郵箱: boyurenzheng@163.com

                地址

                企業地址: 武漢市江岸區漢口城市廣場LOFT3號樓1101-1102

                版權所有:武漢博宇認證咨詢有限公司   網站建設:中企動力 武漢   鄂ICP備19022462號-1

                亚洲欧美日韩国产精品一区二区_国产欧美日韩亚欧_天天综合网久久久_亚洲无码一级在线观看