国产亚洲精品美女久久久m_日韩久久视频岛国无码不卡_亚洲乱码尤物193yw在线播放_欧美美女黄色网站_日韩人妻系列手机版_A级视频在线免费播放_少妇综合日本在线观看_av无码一区二区三还_惠民福利国产精品全国免费观看高清_视频精品 中文字播放

山東ISO9001

行業(yè)動(dòng)態(tài)

新版ISO/IEC 27001:2022的主要變化

您的當(dāng)前位置: 首 頁 >> 新聞資訊 >> 行業(yè)動(dòng)態(tài)

新版ISO/IEC 27001:2022的主要變化

發(fā)布日期:2023-09-08 作者: 點(diǎn)擊:


新版的標(biāo)題更改為《信息安全,網(wǎng)絡(luò)安全和隱私保護(hù)— 信息安全管理系統(tǒng)—要求》。它與ISO / IEC 27002:2022《信息安全,網(wǎng)絡(luò)安全和隱私保護(hù)—信息安全控制》的標(biāo)題一致。


ISO 27001:2022的新特點(diǎn)概述

9.8-1.png
ISO 27001描述了信息安全管理系統(tǒng)(簡稱ISMS)的框架--無論公司的組織結(jié)構(gòu)、規(guī)模或方向如何,都是如此。這里的關(guān)鍵是風(fēng)險(xiǎn)管理。不斷變化的網(wǎng)絡(luò)威脅正在不斷利用公司的新的潛在漏洞,目的是攻擊和破壞信息流,從而影響業(yè)務(wù)流程。這種機(jī)制對(duì)信息安全的三個(gè)基本保護(hù)目標(biāo)--保密性、完整性和可用性--產(chǎn)生的風(fēng)險(xiǎn)必須被識(shí)別和管理。

ISO/IEC 27001:2022的更新涉及管理這些信息安全風(fēng)險(xiǎn)的最佳實(shí)踐。新的ISO/IEC 27001:2022的規(guī)范性附件A中可能的信息安全控制清單與修訂后的ISO/IEC 27002:2022指南中的內(nèi)容相同。該實(shí)施指南已于今年2月通過,并采用了更簡單的分類法和當(dāng)代安全控制。隨著新的ISO/IEC 27001:2022的發(fā)布,成功的ISO標(biāo)準(zhǔn)串聯(lián)27001/27002及其寶貴的建議措施再次成為最先進(jìn)的標(biāo)準(zhǔn)。

新的ISO/IEC 27001:2022的另一個(gè)重大變化是,隨著對(duì)所謂的協(xié)調(diào)結(jié)構(gòu)的適應(yīng),過程導(dǎo)向的要求被置于有效的ISMS的重點(diǎn)。有效的管理系統(tǒng)的基礎(chǔ)是明確的過程和它們的相互作用,以及這些過程的目標(biāo)導(dǎo)向標(biāo)準(zhǔn),以便對(duì)它們進(jìn)行控制。

在下文中,我們將對(duì)新版ISO 27001的三個(gè)變化領(lǐng)域進(jìn)行仔細(xì)研究。

高層結(jié)構(gòu)變?yōu)榻y(tǒng)一結(jié)構(gòu)

從2021年5月起,以前的高層結(jié)構(gòu)(HLS)將被統(tǒng)一結(jié)構(gòu)(HS)所取代。HS是制定新的和未來修訂現(xiàn)有ISO管理系統(tǒng)標(biāo)準(zhǔn)的基本結(jié)構(gòu)和模板。ISO/IEC 27001:2022是首批適應(yīng)HS的管理體系標(biāo)準(zhǔn)之一。與HLS相比,HS中的各種澄清、增加以及刪除,對(duì)于熟悉該標(biāo)準(zhǔn)的用戶來說是相當(dāng)有趣的。

然而,對(duì)于ISO/IEC 27001:2022來說,可以直接看到從HS中衍生出來的重要內(nèi)容。在未來,第6.3條將要求以有計(jì)劃的方式實(shí)施對(duì)ISMS的修改。這一要求是其他管理系統(tǒng)所熟悉的,表達(dá)了對(duì)ISMS相關(guān)變更過程已經(jīng)掌握的期望。例如,從以前的ISO/IEC 27001:2013過渡到新的ISO/IEC 27001:2022,可以理解為ISMS的變更,應(yīng)該以有計(jì)劃的方式實(shí)施其所有影響和互動(dòng)。

ISO/IEC 27001:2022中的規(guī)范性變化

一個(gè)非常重要的變化是在第4.4條中增加了組織的背景,要求確定ISMS中實(shí)施和維護(hù)所需的必要過程及其相互作用。這一明確的要求使ISO/IEC 27001:2022與根據(jù)HS(HLS)的其他管理系統(tǒng)的最佳實(shí)踐方法相一致。信息安全管理體系必須建立在既定的、可追蹤的流程及其相互作用的基礎(chǔ)上。然后圍繞這些流程設(shè)計(jì)和調(diào)整附件A的信息安全控制。

第8.1條的下一個(gè)相關(guān)變化也強(qiáng)調(diào)了流程導(dǎo)向的重要性,這是所有基于HS的管理系統(tǒng)的共同點(diǎn)。組織必須將流程作為其運(yùn)營規(guī)劃和控制的一部分來實(shí)現(xiàn),以實(shí)施管理信息安全風(fēng)險(xiǎn)的措施。新的內(nèi)容是,現(xiàn)在必須定義流程標(biāo)準(zhǔn)。流程控制必須按照這些標(biāo)準(zhǔn)來實(shí)施。

此外,在以下條款中還做了相當(dāng)小的澄清和說明。
對(duì)第5.3條進(jìn)行了補(bǔ)充,明確要求在組織內(nèi)公布與信息安全有關(guān)的角色的責(zé)任和權(quán)限。

第7.4條規(guī)定了有關(guān)ISMS的內(nèi)部和外部溝通的需要。除了仍然適用的關(guān)于 "什么"、"何時(shí) "和 "與誰 "的規(guī)定外,溝通的方式是對(duì)以前要求的一種可行的簡化。

第9.2條內(nèi)部審計(jì)和第9.3條管理評(píng)審已經(jīng)根據(jù)統(tǒng)一結(jié)構(gòu)進(jìn)行了調(diào)整。第9.2條現(xiàn)在被細(xì)分為9.2.1和9.2.2,第9.3條被分為三個(gè)子條款9.3.1、9.3.2和9.3.3。

第10.1條和第10.2條的結(jié)構(gòu)順序已經(jīng)根據(jù)統(tǒng)一結(jié)構(gòu)進(jìn)行了調(diào)整。在第10.1條中,前瞻性的持續(xù)改進(jìn)方面現(xiàn)在先于第10.2條中的不合格品和糾正措施的回顧性處理,在內(nèi)容上沒有任何進(jìn)一步的變化。這一調(diào)整強(qiáng)調(diào)了持續(xù)改進(jìn)過程(CIP)的重要性。

另一項(xiàng)澄清涉及到信息安全風(fēng)險(xiǎn)處理措施的選擇,第6.1.3c)條。這些措施的定義要考慮到風(fēng)險(xiǎn)評(píng)估的結(jié)果,并與附錄A的控制措施相比較。該方法保持不變。然而,以前的ISO 27001中的解釋性說明提到了附件A,要求它包含一個(gè)全面的 控制目標(biāo)和控制措施的清單。

在新的ISO/IEC 27001:2022中,對(duì)附件A的提及可以理解為一份可能的信息安全控制清單,它更加開放,因此適用性更強(qiáng)。

簡而言之,ISO/IEC 27001:2022的附件A仍應(yīng)被視為一個(gè)整體,作為條款6.1.3 c)中強(qiáng)制性要求的一部分,但其中包含的一系列單獨(dú)的信息安全措施可以由用戶更靈活地選擇、設(shè)計(jì)和擴(kuò)展。ISO/IEC 27001的新版本在此強(qiáng)調(diào)了管理系統(tǒng)框架對(duì)組織特定控制措施集的開放。

ISO/IEC 27001:2022的新附件A

ISO/IEC 27001:2022的規(guī)范性附件A中可能的信息安全(IS)控制清單與ISO/IEC 27002:2022的內(nèi)容相同。一般安全控制的目錄已于2022年2月公布。因此,ISO/IEC 27001:2022的附件A的變化在一段時(shí)間內(nèi)是可以預(yù)見的。此前,附件A包括總共114項(xiàng)控制措施,這些措施可用于解決組織在14個(gè)條款中的35個(gè)控制目標(biāo)下的信息安全風(fēng)險(xiǎn)。

除了新的ISO/IEC 27001:2022取消了控制目標(biāo)外,附件A中的信息安全控制措施已經(jīng)被修訂,更新,并以一些新的控制措施進(jìn)行補(bǔ)充和重組。

附件A原來的14個(gè)條款現(xiàn)在集中在以下4個(gè)主題上。

A.5 組織控制(包括37項(xiàng)控制)。
A.6 個(gè)人控制(包括8項(xiàng)控制)。
A.7 物理控制(有14項(xiàng)控制措施)
A.8 技術(shù)控制(包括34項(xiàng)控制)。

新版ISO/IEC 27001:2022的附件A現(xiàn)在共包括93項(xiàng)控制,其中以下11項(xiàng)是新的控制。

A.5.7 威脅情報(bào)
A.5.23 使用云服務(wù)的信息安全
A.5.30 業(yè)務(wù)連續(xù)性的ICT準(zhǔn)備情況
A.7.4 物理安全監(jiān)控
A.8.9 配置管理
A.8.10 信息的刪除
A.8.11 數(shù)據(jù)屏蔽
A.8.12 防止數(shù)據(jù)泄漏
A.8.16 活動(dòng)監(jiān)控
A.8.23 網(wǎng)絡(luò)過濾
A.8.28 安全編碼

雖然ISO/IEC 27001:2022的附件A僅限于命名控制,但I(xiàn)SO/IEC 27002:2022實(shí)施指南提供了進(jìn)一步的分類選項(xiàng)。在那里,每個(gè)控制被分配了五個(gè)屬性,允許對(duì)它們有不同的看法和觀點(diǎn)。這些屬性或其屬性值可用于過濾、排序或?yàn)椴煌慕M織視圖顯示。

這五個(gè)屬性是:

控制類型是一個(gè)屬性,用于從一個(gè)措施何時(shí)以及如何改變與信息安全事件發(fā)生有關(guān)的風(fēng)險(xiǎn)的角度來看待控制。

信息安全屬性是一個(gè)屬性,用于從措施旨在支持什么保護(hù)目標(biāo)的角度來看待控制。

網(wǎng)絡(luò)安全概念是從它們?nèi)绾斡成涞絀SO/IEC TS 27110中描述的網(wǎng)絡(luò)安全框架的角度來看待控制。

操作能力從其操作信息安全能力的角度考慮控制,并支持用戶對(duì)措施的實(shí)際看法。

安全領(lǐng)域是一個(gè)屬性,允許從四個(gè)信息安全領(lǐng)域的角度來看待控制措施。

此次更新對(duì)您的認(rèn)證意味著什么?

新的和改進(jìn)的ISO/IEC 27001版本已于2022年10月25日發(fā)布。這導(dǎo)致標(biāo)準(zhǔn)用戶的過渡時(shí)間和期限如下。
?根據(jù)ISO/IEC 27001:2022的認(rèn)證準(zhǔn)備情況
-> 可能從2023年6月至7月
?根據(jù)原ISO 27001:2013進(jìn)行初始/再認(rèn)證審核的最后日期
-> 新的ISO/IEC 27001:2022發(fā)布后18個(gè)月
?所有現(xiàn)有證書過渡到新的ISO/IEC 27001:2022
-> 3年,與
ISO/IEC 27001:2022發(fā)布月的最后一天有關(guān)(2025年10月)。

ISO 27001:2022的新版總結(jié)

9.8-2.png

新的ISO/IEC 27001:2022已經(jīng)出版,這標(biāo)志著3年過渡期的開始。
總的來說,主要的創(chuàng)新有以下幾點(diǎn)
?管理體系與協(xié)調(diào)結(jié)構(gòu)的一致性。
?強(qiáng)調(diào)過程導(dǎo)向、其相互作用和標(biāo)準(zhǔn)。
?簡化和精簡控制措施的分類,將其分為專題塊。
?與當(dāng)前組織方法和相關(guān)威脅相一致的當(dāng)代措施。
?使控制措施與各種風(fēng)險(xiǎn)管理方法相一致的屬性,包括全球網(wǎng)絡(luò)安全框架。

免責(zé)聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!推送旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)跟我們聯(lián)系刪除!


本文網(wǎng)址:http://sz88188.cn/news/837.html

關(guān)鍵詞:濟(jì)南信息安全管理體系認(rèn)證,濟(jì)南信息技術(shù)管理體系認(rèn)證,濟(jì)南能源管理體系認(rèn)證

最近瀏覽:

相關(guān)產(chǎn)品:

  • 聯(lián)系方式
  • 聯(lián)系人:李老師

    手機(jī):18660102766

    電話:0531-85875116

                        85700666

    地址:濟(jì)南市明湖西路777號(hào)明湖廣場1號(hào)樓1217室

    微信圖片_20230411090726_副本.png

    微信掃一掃

    Copyright ? 2022 版權(quán)所有: 山東省信標(biāo)聯(lián)合質(zhì)量認(rèn)證有限公司 備案號(hào): 魯ICP備19042953號(hào)-1 主營區(qū)域: 濟(jì)南 淄博 東營 濰坊 濟(jì)寧 泰安 日照 濱州 德州 臨沂 營業(yè)執(zhí)照
  • 在線客服
  • 客服
    18660102766
  • 在線留言
  • 手機(jī)網(wǎng)站
  • 微信號(hào)

    liping68688

  • 在線咨詢
    歡迎給我們留言
    請(qǐng)?jiān)诖溯斎肓粞詢?nèi)容,我們會(huì)盡快與您聯(lián)系。
    姓名
    聯(lián)系人
    電話
    座機(jī)/手機(jī)號(hào)碼
    郵箱
    郵箱
    地址
    地址