热门搜索:
135-2443-4134
187-2179-1314
我们的服务
您当前的位置: 首页>>新闻资讯>>认证百科>>ISO27001知识

iso27001 2022信息安全管理体系:ISO 27001:2022变化分析

更新时间:2024-12-19   浏览次数:307次

iso.com/' target='_blank' title='ISO' >ISO 27001:2022变化分析

ISO 27001标准的主体已作出更改,以更好地配合管理体系标准的协调结构(即附件SL)。

值得注意的是,下列要求有所改变:

4.2了解相关方的需求和期望

4.4信息安全管理体系

6.2信息安全目标和实现这些目标的计划

6.3变更策划

8.1运行计划和控制

9.1监视、测量、分析和评价

9.3.2管理评审输入

10的改进

附件A控制已从14个控制目标重新分组为4个广泛的主题,包括:组织、人员、物理和技术控制

附件A内的控件总数为93个,而前一版为114个

但是,以前的一些控制已合并为更广泛的新控制;新增了11项控制,包括:

威胁情报

使用云服务的信息安全

物理安全监控

配置管理

信息删除

数据屏蔽

防止数据泄露

网络过滤

安全代码

此外,ISO 27002:2022确定了5个控制属性,以对控制进行不同的分类;属性包括:

控制类型

信息安全属性

网络安全的概念

操作功能

安全域

ISO 27002:2022还定义了每个单独控制的目的,以更好地解释每个控制的意图

为了确保客户成功完成转型,NQA建议采取以下步骤:

准备您的ISO 27001转版

在进行转版审核之前,组织必须按照ISO 27001:2022的要求对其管理体系进行转版。这应包括任何文档更改,以及任何新的或更改的工艺要求的证据。

值得注意的是,在进行核质量保证(NQA)过渡审核之前,组织必须对新的/变更的要求进行内部审核和管理评审。

组织在正式的过渡审核之前,可由核质量保证(NQA)进行过渡差距评估。这可以与早期的ISO 27001:2013监督一起进行,也可以在过渡审核之前的任何其他独立时间进行。

我们制作了《差距指南》和《差距分析工具》,以帮助您顺利过渡,因此请下载这些文件,了解更多信息并开始过渡。

您的ISO 27001转版审核

所有组织都必须进行过渡审核,以确认修订后标准的实施。过渡审计可以与现有的审计一起进行,也可以是单独的审计。

如果转版审核与现有的监督(即转版监督)或再认证审核(即转版再评估)同时进行,审核持续时间可能会增加,以涵盖ISO 27001:2022引入的新要求/概念。

如果对过渡审计进行独立审计,则应根据单个组织计算持续时间。

注:具体的审核过渡时间取决于组织的实际情况,包括组织的规模和ISMS的复杂程度。您的核质量保证客户代表将告知您具体的过渡审核持续时间

修订ISO 27001:2022证书

与任何审核一样,在过渡审核期间发现的不符合项将需要提交并批准纠正措施。在纠正措施批准后,将颁发更新的ISO 27001:2022认证。

更新后的ISO 27001:2022证书的签发和有效性如下:

过渡监督——组织现有的“有效期至日期”将保持不变。

过渡期重新评估-更新后的3年期间将发布新的“有效期至日期”。

独立过渡-组织现有的“有效期至日期”将保持不变。

核质量保证(NQA) ISO 27001:2022过渡检查表

核质量保证局(NQA)正在制定ISO 27001:2022过渡检查表,该检查表为根据ISO 27001:2022的要求评估你们的管理体系提供了一个简单的框架。一旦发布,我们鼓励组织使用此检查表作为工具,以促进和记录其管理体系内的变更,并保留此文件以供过渡审核时审查。

请在未来几周内查看或注册InTouch,我们的定期通讯,以获得其出版的通知。

额外的支持

核质量保证团队将在整个过渡过程中为您提供支持。如果您有任何问题或需要任何帮助,我们可以支持您:

•技术咨询

有任何问题请打电话给我们。csr精通许多过渡方面,可以解决许多初始问题。如果您需要更深入的答案,您可以拨打由cto和业务部门领导组成的NQA技术团队的电话。

•过渡培训

NQA将以点播(在线学习)和现场(虚拟)两种形式提供27001:2022过渡培训。请访问NQA网站进行注册。

•外部援助(培训/咨询)

虽然NQA不提供咨询服务,但CSR可以为NQA了解的许多知名培训和咨询公司提供联系。

•过渡差距评估

CSR可以安排过渡差距评估,以确定在您的过渡审核之前符合ISO 27001:2022要求的水平。

详细说明ISO 27001:2022中新增的11项安全控制措施

如果您是处理ISO 27001的安全从业人员,您可能想知道,作为2022年该标准变更的一部分,您需要实施哪些新内容。

在本文中,我将重点介绍ISO 27001中引入的11个新控件。有关更改的一般信息,请参阅本文:ISO 27001 2013与2022修订-有哪些更改?

你会注意到,其中一些新控件与2013年版本中的旧控件非常相似;但是,由于这些控件在ISO 27002:2022中被归类为新控件,因此我在本文中列出了全部11个控件。

作为本文的主要来源,我使用了ISO 27002:2022的指导方针——我已经给出了需求、技术、人员和文档的概述,但是如果您想更深入地了解这些控制,我建议您从ISO网站购买ISO 27002标准。如您所知,要符合ISO 27001,并不是必须遵循ISO 27002的指导方针,这意味着本文中的建议是可选的。

最后,请记住这些控制措施不是强制性的——ISO 27001允许你们在以下情况下排除控制措施:(1)你们没有发现相关风险,(2)没有法律/法规/合同要求实施该特定控制措施。

那么,让我们更详细地回顾一下这11个控件…

A.5.7威胁情报

描述。此控制要求您收集有关威胁的信息并对其进行分析,以便采取适当的缓解措施。这些信息可能是关于特定的攻击,关于攻击者使用的方法和技术,和/或关于攻击趋势。您应该在内部收集这些信息,以及从供应商报告、政府机构公告等外部来源收集这些信息。

技术。较小的公司可能不需要任何与这种控制相关的新技术;相反,他们必须弄清楚如何从现有系统中提取威胁信息。如果他们还没有这样的系统,大公司将需要购买一个系统来提醒他们新的威胁(以及漏洞和事件)。任何规模的公司都必须使用威胁信息来加固他们的系统。

组织/流程。您应该设置如何收集和使用威胁信息的过程,以便在您的IT系统中引入预防性控制,改进您的风险评估,并引入新的安全测试方法。

人。让员工意识到发送威胁通知的重要性,并培训他们如何以及向谁传达这些威胁。

文档。ISO 27001不要求文件;但是,您可以在以下文件中包含有关威胁情报的规则:

供应商安全政策-定义公司与其供应商和合作伙伴之间如何沟通有关威胁的信息。

事件管理程序-定义有关威胁的信息如何在公司内部进行沟通。

安全操作程序-定义如何收集和处理有关威胁的信息。

A.5.23使用云服务的信息安全

描述。这种控制要求您设置云服务的安全要求,以便更好地保护您在云中的信息。这包括购买、使用、管理和终止使用云服务。

技术。在大多数情况下,不需要新技术,因为大多数云服务已经具有安全功能。在某些情况下,您可能需要将服务升级到更安全的服务,而在某些罕见情况下,如果云提供商没有安全功能,则需要更改云提供商。在大多数情况下,需要做的改变是以更彻底的方式使用现有的云安全功能。

组织/流程。您应该建立一个流程来确定云服务的安全要求,并确定选择云提供商的标准;此外,您应该定义一个流程来确定云的可接受使用,以及在取消使用云服务时确定安全需求。

人。让员工意识到使用云服务的安全风险,培训员工如何使用云服务的安全特性。

文档。ISO 27001不要求文件;但是,如果您是一家较小的公司,您可能会在供应商安全策略中包含有关云服务的规则。较大的公司可能会制定一个单独的政策,专门关注云服务的安全性。

A.5.30为业务连续性做好信息通信技术准备

描述。这种控制要求您的信息和通信技术为潜在的中断做好准备,以便在需要时提供所需的信息和资产。这包括准备计划、实现、维护和测试。

技术。如果您没有投资于支持系统弹性和冗余的解决方案,则可能需要引入这样的技术—范围可能从数据备份到冗余通信链接。这些解决方案需要根据您的风险评估以及您需要的数据和系统恢复速度来规划。

组织/流程。除了计划流程(需要考虑恢复的风险和业务需求)之外,还应该为技术设置维护流程,并为灾难恢复和/或业务连续性计划设置测试流程。

人。让员工意识到可能发生的潜在中断,并培训他们如何维护IT和通信技术,以便为中断做好准备。

文档。ISO 27001不要求文件;但是,如果你是一家小型公司,你可以在以下文件中包括资讯及通讯科技的准备情况:

灾难恢复计划——准备计划、实施和维护

内部审计报告-准备测试

如果您是一个较大的组织,或者如果您实施了ISO 22301,那么您应该通过业务影响分析、业务连续性战略、业务连续性计划和业务连续性测试计划和报告来记录准备情况。

A.7.4物理安全监控

描述。这种控制要求您监视敏感区域,以便只有经过授权的人员才能访问它们。这可能包括您的办公室、生产设施、仓库和其他场所。

技术。根据您的风险,您可能需要实施报警系统或视频监控;你也可以决定实现一个非技术解决方案,比如一个人观察这个区域(例如,一个警卫)。

组织/流程。您应该定义谁负责监视敏感区域,以及使用什么通信渠道来报告事件。

人。让员工意识到未经授权进入敏感区域的风险,并培训他们如何使用监控技术。

文档。ISO 27001不要求文件;但是,您可以在以下文档中包含物理安全监控:

规范物理安全的程序-监控什么,谁负责监控

事件管理程序-如何报告和处理物理安全事件

A.8.9配置管理

描述。这种控制要求您管理您的技术的整个安全配置周期,以确保适当的安全级别并避免任何未经授权的更改。这包括配置定义、实现、监视和审查。

技术。需要管理其配置的技术可以包括软件、硬件、服务或网络。较小的公司可能不需要任何额外的工具就能处理配置管理,而较大的公司可能需要一些执行已定义配置的软件。

组织/流程。您应该设置一个建议、审查和批准安全配置的流程,以及管理和监视配置的流程。

人。让员工了解为什么需要严格控制安全配置,并培训他们如何定义和实现安全配置。

文档。ISO 27001要求对这种控制进行记录。如果您是一家小公司,您可以在您的安全操作规程中记录配置规则。较大的公司通常会有一个单独的程序来定义配置过程。

您通常会有单独的规范来定义每个系统的安全配置,以避免频繁更新上一段中提到的文档。此外,需要记录对配置的所有更改,以启用审计跟踪。

A.8.10信息删除

描述。此控制要求您在不再需要时删除数据,以避免敏感信息泄露并符合隐私和其他要求。这可能包括删除您的IT系统、可移动媒体或云服务。

技术。您应该根据法规或合同要求,或根据您的风险评估,使用安全删除工具。

组织/流程。您应该建立一个流程,该流程将定义需要删除哪些数据以及何时删除,并定义删除的职责和方法。

人。让员工意识到为什么删除敏感信息很重要,并培训他们如何正确地删除敏感信息。

文档。ISO 27001不要求文件;但是,您可以在以下文档中包含有关信息删除的规则:

处置和销毁策略-如何删除可移动媒体上的信息

可接受使用政策-普通用户需要如何删除其计算机和移动设备上的敏感信息

安全操作程序-系统管理员需要如何删除服务器和网络上的敏感信息

较大的组织可能也有数据保留策略,定义每种类型的信息需要多长时间,以及何时需要删除。

A.8.11数据屏蔽

描述。此控制要求您将数据屏蔽与访问控制一起使用,以限制敏感信息的暴露。这主要是指个人数据,因为它们受到隐私法规的严格监管,但也可能包括其他类别的敏感数据。

技术。如果隐私或其他法规要求,公司可以使用假名化或匿名化工具来掩盖数据。其他方法,如加密或混淆也可以使用。

组织/流程。您应该设置流程来确定需要屏蔽哪些数据,谁可以访问哪种类型的数据,以及将使用哪些方法来屏蔽数据。

人。让员工意识到屏蔽数据的重要性,并培训他们需要屏蔽哪些数据以及如何屏蔽。

文档。ISO 27001不要求文件;但是,您可以在以下文档中包含有关数据屏蔽的规则:

信息分类策略——确定哪些数据是敏感的,哪些数据类别需要屏蔽

访问控制策略-定义谁可以访问什么类型的被屏蔽或未被屏蔽数据

安全开发策略——定义屏蔽数据的技术

大型公司或需要遵守欧盟通用数据保护条例(EU GDPR)和类似隐私法规的公司还应准备以下文件:

私隐政策/个人资料保护政策-资料掩蔽的整体责任

匿名化和假名化策略-在隐私法规的上下文中如何实现数据屏蔽的详细信息

A.8.12防止数据泄露

描述。这种控制要求您应用各种数据泄漏措施,以避免敏感信息被未经授权的泄露,并在发生此类事件时及时发现。这包括IT系统、网络或任何设备中的信息。

技术。为此目的,您可以使用系统来监视潜在的泄漏通道,包括电子邮件、可移动存储设备、移动设备等,以及防止信息泄漏的系统,例如,禁用下载到可移动存储、电子邮件隔离、限制复制和粘贴数据、限制将数据上传到外部系统、加密等。

组织/流程。你应该建立流程来确定数据的敏感性,评估各种技术的风险(例如,用智能手机拍摄敏感信息的风险),监控具有潜在数据泄露的渠道,并定义使用哪种技术来阻止敏感数据的暴露。

人。让员工了解公司处理的敏感数据类型以及防止泄漏的重要性,并培训他们在处理敏感数据时什么是允许的,什么是不允许的。

文档。ISO 27001不要求文件;但是,您可能会在以下文档中包含防止数据泄漏的规则:

信息分类策略——越是敏感的数据,越是需要防范

安全操作程序-管理员应该使用哪些系统进行监控和预防

可接受使用的政策-什么是允许的,什么是不允许的普通用户

A.8.16监控活动

描述。这种控制要求您监视系统,以便识别异常活动,并在需要时激活适当的事件响应。这包括监视您的IT系统、网络和应用程序。

技术。对于您的网络、系统和应用程序,您可以监视以下内容:安全工具日志、事件日志、谁在访问什么、主要管理员的活动、入站和出站流量、代码的正确执行以及系统资源的执行情况。

组织/流程。您应该建立一个流程,定义将监视哪些系统;如何确定监测的责任;以及监测方法,为异常活动建立基线,并报告事件和事故。

人。让员工意识到他们的行为会受到监控,并解释什么是正常行为,什么是不正常行为。培训IT管理员使用监控工具。

文档。ISO 27001不要求文件;但是,如果您是一家较小的公司,您可能会在安全操作程序中包含有关监控的规则。较大的公司可能会制定一个单独的程序来描述如何监控他们的系统。

除此之外,保存监测活动的记录也是有用的。

A.8.23 Web过滤

描述。这种控制要求您管理您的用户正在访问哪些网站,以保护您的IT系统。这样,您就可以防止系统受到恶意代码的危害,还可以防止用户使用来自Internet的非法材料。

技术。您可以使用阻止访问特定IP地址的工具,这可能包括使用反恶意软件。你也可以使用非技术方法,比如列出禁止访问的网站,并要求用户不要访问这些网站。

组织/流程。您应该设置流程来确定哪些类型的网站是不允许的,以及如何维护网络过滤工具。

人。让员工意识到使用互联网的危险,以及在哪里可以找到安全使用的指导方针,并培训系统管理员如何进行网络过滤。

文档。ISO 27001不要求文件;然而,如果你是一家较小的公司,你可能会在以下文件中包含有关网页过滤的规则:

安全操作流程—为系统管理员定义web过滤的规则。

可接受使用政策-为所有用户定义可接受的互联网使用规则。

较大的公司可能会开发一个单独的程序来描述如何执行网络过滤。

A.8.28安全编码

描述。这种控制要求您建立安全编码原则,并将其应用到您的软件开发中,以减少软件中的安全漏洞。这可以包括编码之前、期间和之后的活动。

技术。您可能会使用工具来维护库清单,保护源代码免受篡改,记录错误和攻击,以及进行测试;您还可以使用安全组件,如身份验证、加密等。

组织/流程。你应该建立一个过程来定义安全编码的更低基线——包括内部软件开发和来自第三方的软件组件,一个过程来监控新出现的威胁和对安全编码的建议,一个过程来决定可以使用哪些外部工具和库,一个过程来定义编码之前、编码期间、编码之后(审查和维护)和软件修改所做的活动。

人。让您的软件开发人员意识到使用安全编码原则的重要性,并培训他们使用安全编码的方法和工具。

文档。ISO 27001不要求文件;但是,如果您是一家较小的公司,您可能会在安全开发策略中包含有关安全编码的规则。较大的公司可能会为每个软件开发项目开发单独的安全编码过程。

认证项目
价格优势明显,一站式服务全国各行企业
BSMI认证
中国台湾BSMI认证是强制性的,他对EMC和SAFETY都有要求,不过,BSMI...
无抗认证
无抗认证也对农村可持续农业的发展做出了重要贡献。这种饲养方式不仅可以帮助保...
CCRC认证(信息安全服务资格认证)
CCRC是什么? 中国网络安全审查技术与认证中心(英文缩写为:CCRC,原为...
CS认证资质:信息系统建设和服务能力评估(CS)
在当今信息化时代,企业的信息系统建设和服务能力评估显得尤为重要。为了确保信息系统...
商品售后服务管理认证
售后服务认证,又叫售后服务星级认证,其全名为“商品售后服务评价体系认证"...
联系我们CONTACT
  • 电话:135-2443-4134
  • 手机:187-2179-1314
  • 邮箱:ISO@jcfairs.com
微信联系CONTACT US
187-2179-1314