ISO/IEC 27001:2022新版标准已正式发布

ISO/IEC 27001:2022信息安全管理体系标准已于2022年10月25日正式发布，ISO/IEC 27001是目前国际上被广泛接纳和采用的信息安全标准，也是国际公认的保护信息资产和知识产权的良好实践。

ISO/IEC 27001:2022标题改为《信息安全、网络安全和隐私保护—信息安全管理体系—要求》，它与ISO/IEC 27002:2022的标题《信息安全、网络安全和隐私保护—信息安全控制》一致。

ISO/IEC 27001:2022主要变化点

◌ 所列的控制项从114项减少到93项；

◌ 在ISO/IEC 27001:2022中引入了新的子条款，新的子条款的引入进一步协调了与其他管理体系标准的文件结构，如ISO 9001:2015、ISO 22301:2019；

◌ 在ISO/IEC 27001:2022中引入了新的文本，并重新安排了一些文本，但它们只是澄清了要求，并没有给标准增加新的要求；

◌ 删除了某些控制项；

◌ 推出了11项新的控制项；

◌ 合并了24项控制项；

◌ 更新了58项控制项；

◌ 引入了属性的概念。

◌ 新版ISO/IEC 27001:2022附录A的标题改为 "信息安全控制措施参考"。新增、删除以及合并了一些安全控制，附录A被修订为与ISO/IEC 27002: 2022中的信息安全控制相一致，这也是ISO/IEC 27001:2022最重要的变化。条款中的4-10的变化只是编辑上的小改动，以进一步与其他管理系统标准的结构保持一致。变更内容包含网络安全和隐私方面，更新了控制语言并添加了额外指导。变更内容有助于公司管理风险，确保没有遗漏并及时跟进。

转版注意事项

新版ISO/IEC 27001于2022年10月25日发布。转版时间为3年，现有证书需要在2025年11月前转版到新版本。

为顺利过渡到新版本，已经通过ISO/IEC 27001:2013认证的组织需要引起重视，根据新的子条款和修改后的要求修订内部政策，并根据ISO/IEC 27001:2022附录A修订风险评估结果和风险处置计划。ISO/IEC 27001的2024年度评审，还可以按照旧版进行审核，但是2025年9月证书就会失效，建议各组织可以准备按照新版ISO/IEC 27001:2022进行审核。