10月25日，新版ISO/IEC 27001:2022信息安全管理體系認(rèn)證標(biāo)準(zhǔn)正式發(fā)布，新標(biāo)準(zhǔn)提供了更強(qiáng)大的信息安全控制，幫助組織解決日益復(fù)雜的安全風(fēng)險及應(yīng)對全球網(wǎng)絡(luò)安全挑戰(zhàn)，提高數(shù)字信任確保業(yè)務(wù)連續(xù)性。
什么是ISO27001?

ISO27001是信息安全管理體系認(rèn)證，是由國際標(biāo)準(zhǔn)化組織（ISO）采納英國標(biāo)準(zhǔn)協(xié)會BS7799-2標(biāo)準(zhǔn)后實施的管理體系，成為了“信息安全管理”的國際通用語言，企業(yè)建立ISO27001體系能有效保證企業(yè)在信息安全領(lǐng)域的可靠性，降低企業(yè)泄密風(fēng)險，更好的保存核心數(shù)據(jù)和重要信息。

信息安全對每個企業(yè)都是非常重要的，所以信息安全管理體系認(rèn)證具有普遍的適用性，不受地域、產(chǎn)業(yè)類別和公司規(guī)模限制。目前認(rèn)證較多的行業(yè)主要是軟件和信息技術(shù)服務(wù)業(yè)、通信、金融等行業(yè)。

ISO27001認(rèn)證有什么好處？

1）提升公司軟實力，有利于公司的宣傳推廣

2）保障信息安全，確保信息安全、完整、可用

3) 增強(qiáng)員工安全意識、規(guī)范員工信息安全行為

4) 招投標(biāo)加分項，提高公司在行業(yè)內(nèi)的競爭力

5) 享受政府補(bǔ)貼政策的支持（補(bǔ)貼金額：10-20萬不等）

ISO/IEC 27001:2022主要變化內(nèi)容

1.附錄A引用了ISO/IEC 27002:2022中描述的信息安全控制，其中包括控制標(biāo)題和控制的信息

2.第6.1.3 c）條款經(jīng)過修改編輯，包括刪除控制目標(biāo)和使用“信息安全控制”代替“控制”

3.重新編輯了第6.1.3 d）條款中的措辭，以消除存在的潛在歧義

4.通過增加新條款4.2 c）來決定經(jīng)過ISMS處理的相關(guān)方的要求

5.通過新增子條款6.3-變更的策劃，定義了針對ISMS的變更應(yīng)由組織以計劃的方式進(jìn)行

6.保持與書面文本相關(guān)動詞的一致性，例如，在第9.1、9.2.2、9.3.3和10.2條款中使用“書面信息應(yīng)作為XXX的證據(jù)”

7.使用“外部提供的過程、產(chǎn)品和服務(wù)”以取代第8.1條款中的“外包過程”，并刪除“外包”一詞

8. 重新命名和重新排序9.2條款-內(nèi)部審核和9.3條款-管理評審的子條款

9.對第10條款-改進(jìn)的兩個子條款交換順序

10.參考書目中列出的相關(guān)文件進(jìn)行版本更新，例如ISO/IEC 27002和ISO 3100011. 與 ISO/IEC 27001：2013 的6.2 d）條款中的高層結(jié)構(gòu)、相同的核心文本、通用術(shù)語和核心定義有一些偏差

ISO/IEC 27001:2022 過渡時間線

2022 年 10 月開始為期 3 年的過渡期

（至 2025 年 10 月）

■2022

10月發(fā)布ISO/IEC?27001:2022

■2022.10-2023.10

新的和現(xiàn)有的認(rèn)證仍然可以根據(jù)ISO/IEC?27001:2013評估

■2023.10.24

2023年10月24日之后，將不再對ISO/IEC?27001:2013進(jìn)行初始與再認(rèn)證審核

■2025.10.25

所有ISO/IEC?27001:2013認(rèn)證都必須失效，或者撤回時間不得晚于2025年10月25日