ISO/IEC27001：2022標準已于2022年10月25日正式發(fā)布，取消和替代了第二版（ISO/IEC27001：2013），即現(xiàn)行的GB/T22080-2016《信息技術 安全技術 信息安全管理體系要求》。

ISO/IEC 27001標準與其它ISO標準的一個顯著區(qū)別在于它有一個“規(guī)范性附錄”——附錄A。附錄A中包含了在信息安全管理領域相對全面的具體控制措施，在標準出現(xiàn)之初，一度被各路大神評價為極具指導性的標準，便于實施。但隨著安全技術的日新月異，標準中的部分控制措施逐步變?yōu)殡u肋一樣的存在；另一方面，不同組織對于信息安全的關注點并不相同，當然也不可能借助同樣一套控制措施實現(xiàn)卓越管理。

縱觀本次27001標準升版，一方面是同步近年來ISO管理體系標準的高階結(jié)構(HLS)的一些調(diào)整；另一方面是同步ISO/IEC 27002：2022的內(nèi)容更新附錄A；還有一方面內(nèi)容是不可忽視的，新版標準在一些措辭上進一步明晰，例如條款6.1.3 c） 注解：

?原描述??附錄A包含了控制目標和控制的綜合列表

?現(xiàn)描述??附錄A包含可能的信息安全控制列表

對標準附錄A的選擇會形成SOA（適用性聲明），反映到27001的認證證書上，此次標準換版的描述變化進一步明確了27001附錄A的定位是一個可供參考的“可能的”信息安全控制集。這個思想在2013版的標準中已經(jīng)有所體現(xiàn)，但在標準的實際應用中并沒有獲得廣泛的理解，此次修訂是更進一步的澄清。