iso27001最新版标准是哪一年：Iso 27001:2022客户过渡指南

更新时间：2024-12-19 浏览次数：339次

Iso 27001:2022客户过渡指南

iso.com/' target='_blank' title='ISO' >ISO 27001:2022“信息安全、网络安全和隐私保护-信息安全管理体系-要求”于2022年10月发布，将通过三年过渡期取代ISO 27001:2013。所有希望保持ISO 27001认证的组织都需要在2025年10月结束的设定过渡期内过渡到标准的2022版。

NQA的目标是保持一个清晰的过渡方法，便于我们的客户理解和应用。我们的目标是为组织提供指导和工具，以尽可能顺利地从ISO 27001:2013过渡到ISO 27001:2022。

ISO 27001标准的两个版本仍然有效，可以根据以下规则对两个版本进行审核，但应制定计划，使组织在过渡期结束之前完全完成过渡。

详细过渡期

2022年10月25日- ISO/IEC 27001:2022第三版-发布日期

2022年10月31日——过渡期开始

2024年5月1日—在此日期之后，所有初始(新)认证应采用ISO 27001:2022版本，建议所有再认证审核使用此日期之后的ISO 27001:2022版本。

在此日期之前，NQA将继续接受认证申请，并根据ISO 27001:2013标准颁发新的证书。

2025年7月31日-所有过渡审计应在此日期之前进行。

2025年10月31日-过渡期结束

ISO/IEC 27001:2013证书在此日期之后将不再有效。

下载完整的过渡计划(PDF)

ISO 27001:2022变化分析

ISO 27001标准的主体已作出更改，以更好地配合管理体系标准的协调结构(即附件SL)。

值得注意的是，下列要求有所改变:

4.2了解相关方的需求和期望

4.4信息安全管理体系

6.2信息安全目标和实现这些目标的计划

6.3变更策划

8.1运行计划和控制

9.1监视、测量、分析和评价

9.3.2管理评审输入

10的改进

附件A控制已从14个控制目标重新分组为4个广泛的主题，包括:组织、人员、物理和技术控制

附件A内的控件总数为93个，而前一版为114个

但是，以前的一些控制已合并为更广泛的新控制;新增了11项控制，包括:

威胁情报

使用云服务的信息安全

物理安全监控

配置管理

信息删除

数据屏蔽

防止数据泄露

网络过滤

安全代码

此外，ISO 27002:2022确定了5个控制属性，以对控制进行不同的分类;属性包括:

控制类型

信息安全属性

网络安全的概念

操作功能

安全域

ISO 27002:2022还定义了每个单独控制的目的，以更好地解释每个控制的意图

为了确保客户成功完成转型，NQA建议采取以下步骤:

准备您的ISO 27001转版

在进行转版审核之前，组织必须按照ISO 27001:2022的要求对其管理体系进行转版。这应包括任何文档更改，以及任何新的或更改的工艺要求的证据。

值得注意的是，在进行核质量保证(NQA)过渡审核之前，组织必须对新的/变更的要求进行内部审核和管理评审。

组织在正式的过渡审核之前，可由核质量保证(NQA)进行过渡差距评估。这可以与早期的ISO 27001:2013监督一起进行，也可以在过渡审核之前的任何其他独立时间进行。

我们制作了《差距指南》和《差距分析工具》，以帮助您顺利过渡，因此请下载这些文件，了解更多信息并开始过渡。

您的ISO 27001转版审核

所有组织都必须进行过渡审核，以确认修订后标准的实施。过渡审计可以与现有的审计一起进行，也可以是单独的审计。

如果转版审核与现有的监督(即转版监督)或再认证审核(即转版再评估)同时进行，审核持续时间可能会增加，以涵盖ISO 27001:2022引入的新要求/概念。

如果对过渡审计进行独立审计，则应根据单个组织计算持续时间。

注:具体的审核过渡时间取决于组织的实际情况，包括组织的规模和ISMS的复杂程度。您的核质量保证客户代表将告知您具体的过渡审核持续时间

修订ISO 27001:2022证书

与任何审核一样，在过渡审核期间发现的不符合项将需要提交并批准纠正措施。在纠正措施批准后，将颁发更新的ISO 27001:2022认证。

更新后的ISO 27001:2022证书的签发和有效性如下:

过渡监督——组织现有的“有效期至日期”将保持不变。

过渡期重新评估-更新后的3年期间将发布新的“有效期至日期”。

独立过渡-组织现有的“有效期至日期”将保持不变。

核质量保证(NQA) ISO 27001:2022过渡检查表

核质量保证局(NQA)正在制定ISO 27001:2022过渡检查表，该检查表为根据ISO 27001:2022的要求评估你们的管理体系提供了一个简单的框架。一旦发布，我们鼓励组织使用此检查表作为工具，以促进和记录其管理体系内的变更，并保留此文件以供过渡审核时审查。

请在未来几周内查看或注册InTouch，我们的定期通讯，以获得其出版的通知。

额外的支持

核质量保证团队将在整个过渡过程中为您提供支持。如果您有任何问题或需要任何帮助，我们可以支持您:

•技术咨询

有任何问题请打电话给我们。csr精通许多过渡方面，可以解决许多初始问题。如果您需要更深入的答案，您可以拨打由cto和业务部门领导组成的NQA技术团队的电话。

•过渡培训

NQA将以点播(在线学习)和现场(虚拟)两种形式提供27001:2022过渡培训。请访问NQA网站进行注册。

•外部援助(培训/咨询)

虽然NQA不提供咨询服务，但CSR可以为NQA了解的许多知名培训和咨询公司提供联系。

•过渡差距评估

CSR可以安排过渡差距评估，以确定在您的过渡审核之前符合ISO 27001:2022要求的水平。

信息安全管理系统(ISMS)

什么是ISMS?

信息安全管理系统(ISMS)是一套策略和程序，用于系统地管理组织的敏感数据。ISMS的目标是通过主动限制安全漏洞的影响来最小化风险并确保业务连续性。

ISMS通常处理员工行为和流程以及数据和技术。它可以针对特定类型的数据，例如客户数据，也可以以一种全面的方式实现，成为公司文化的一部分。

ISMS是如何工作的?

ISMS为管理组织的信息安全提供了系统的方法。信息安全包括控制和管理整个组织的安全风险级别的某些广泛策略。

ISO/IEC 27001是信息安全和建立ISMS的国际标准。该标准由国际标准化组织和国际电工委员会联合发布，不要求采取具体措施，但包括文件、内部审核、持续改进以及纠正和预防措施方面的建议。要获得ISO 27001认证，组织需要一个能够识别组织资产并提供以下评估的ISMS:

信息资产面临的风险;

为保护信息资产所采取的步骤;

发生安全漏洞时的行动计划;和

识别负责信息安全过程每一步的个人。

ISMS的目标不一定是更大化信息安全，而是达到组织所期望的信息安全级别。根据行业的具体需求，这些控制水平可能会有所不同。例如，由于医疗保健是一个高度监管的领域，因此医疗保健组织可以开发一个系统来确保敏感的患者数据得到充分保护。

ISMS的好处

ISMS提供了一种管理组织内信息系统的整体方法。这提供了许多好处，其中一些在下面强调。

保护敏感数据。ISMS保护所有类型的专有信息资产，无论它们是基于纸张的、以数字方式保存的还是驻留在云中的。这些资产可以包括个人数据、知识产权、财务数据、客户数据和通过第三方委托给公司的数据。

满足法规遵从性。ISMS帮助组织满足所有法规遵从性和合同要求，并更好地掌握信息系统的合法性。由于违反法律法规将面临巨额罚款，因此拥有ISMS对于具有关键基础设施的高度监管行业(如金融或医疗保健)尤其有益。

提供业务连续性。当组织投资于ISMS时，他们会自动提高对威胁的防御级别。这减少了网络攻击等安全事件的数量，从而减少了中断和停机时间，这是保持业务连续性的重要因素。

降低成本。ISMS提供了对所有资产的全面风险评估。这使组织能够优先考虑风险更高的资产，以防止在不必要的防御上不分青红皂白地花费，并提供一个集中的方法来保护它们。这种结构化的方法，加上由于安全事件的减少而减少的停机时间，大大降低了组织的总支出。

加强公司文化。ISMS为整个组织的安全和资产管理提供了一种全面的方法，而不仅仅局限于IT安全。这鼓励所有员工了解与信息资产相关的风险，并将安全更佳实践作为日常工作的一部分。

适应新出现的威胁。安全威胁不断演变。ISMS帮助组织准备和适应新的威胁以及不断变化的安全需求。

ISMS更佳实践

ISO 27001和ISO 27002标准为建立ISMS提供了更佳实践指南。以下是投资ISMS之前需要考虑的更佳实践清单:

了解业务需求。在执行ISMS之前，重要的是组织要对业务操作、工具和信息安全管理系统进行鸟瞰，以了解业务和安全需求。它还有助于研究ISO 27001框架如何帮助数据保护和负责执行ISMS的个人。

建立信息安全策略。在建立ISMS之前有一个信息安全策略是有益的，因为它可以帮助组织发现策略的弱点。安全策略通常应该提供组织内当前安全控制的总体概述。

监控数据访问。公司必须监控其访问控制策略，以确保只有经过授权的个人才能访问敏感信息。这种监视应该观察谁在何时何地访问数据。除了监控数据访问，公司还应该跟踪登录和认证，并保留记录，以供进一步调查。

进行安全意识培训。所有员工应定期接受安全意识培训。培训应向用户介绍不断变化的威胁形势、围绕信息系统的常见数据漏洞，以及保护数据不受损害的缓解和预防技术。

安全设备。通过采取安全措施来抵御黑客攻击，保护所有组织设备免受物理损坏和篡改。谷歌Workspace和Office 365等工具应该安装在所有设备上，因为它们提供内置的设备安全性。

加密数据。加密可以防止未经授权的访问，是防御安全威胁的更佳形式。在建立ISMS之前，应该对所有组织数据进行加密，因为这将防止任何未经授权的破坏关键数据的尝试。

备份数据。备份在防止数据丢失方面发挥着关键作用，在建立ISMS之前应该将其作为公司安全策略的一部分。除定期备份外，还应规划备份的位置和频率。组织还应该设计一个计划来保证备份的安全性，这应该适用于本地和云备份。

进行内部安全审计。在执行ISMS之前，应该进行内部安全审核。内部审计是组织获得其安全系统、软件和设备可见性的好方法，因为他们可以在执行ISMS之前识别和修复安全漏洞。

实现主义

建立ISMS的方法有很多种。大多数组织要么遵循计划-执行-检查-行动流程，要么学习ISO 27001国际安全标准，该标准有效地详细说明了ISMS的要求。

以下步骤说明如何实施ISMS:

定义范围和目标。确定哪些资产需要保护，以及保护它们背后的原因。考虑客户、利益相关者和受托人希望保护的内容的偏好。公司管理层还应该为ISMS的应用领域和局限性确定明确的目标。

识别资产。确定要保护的资产。这可以通过使用业务流程图创建业务关键型资产的清单来实现，这些资产包括硬件、软件、服务、信息、数据库和物理位置。

认识到风险。一旦确定了资产，就应该通过评估法律要求或遵从性指导方针对其风险因素进行分析和评分。组织还应该权衡已识别风险的影响。例如，他们可以质疑如果信息资产的机密性、可用性或完整性被破坏会造成多大的影响，或者这种破坏发生的可能性。最终目标应该是得出一个结论，概述哪些风险是可以接受的，哪些风险由于涉及的潜在危害而必须不惜一切代价加以解决。

确定缓解措施。有效的ISMS不仅识别风险因素，而且提供令人满意的措施来有效地减轻和对抗风险因素。缓解措施应制定明确的治疗计划，以全面避免风险。例如，一家公司试图避免丢失带有敏感客户数据的笔记本电脑的风险，应该首先防止将这些数据存储在该笔记本电脑上。一个有效的缓解措施是制定一项政策或规则，不允许员工在笔记本电脑上存储客户数据。

做出改进。所有上述措施的有效性都应进行监督、审核和反复检查。如果

什么是资讯保安管理系统(ISMS)?

什么是ISMS?

信息安全管理系统(ISMS)是用于系统地管理组织敏感数据的策略和程序框架。

它包括流程、人员、技术和程序，旨在防止未经授权的访问、使用、披露、中断、修改或破坏信息。

ISMS是如何工作的?

ISMS的工作原理是为组织提供用于管理和保护其信息资产的结构化框架。

它由政策和过程组成，这些政策和过程定义了如何管理与信息安全相关的过程和活动。

ISMS还概述了参与信息安全管理的人员的角色和职责，并就如何识别、评估和减轻风险提供了指导。

它还可用于监视安全措施的有效性，并提供遵守适用法律法规的证据。