在2025年10月25日之前,所有ISO/IEC 27001: 2013认证证书,都必须换版成ISO/IEC 27001: 2022认证证书。
以前我也说过很多次,很多人,特别是那些只关注ISO/IEC 27001附录A的那些人,面对ISO/IEC 27001新版标准是一脸懵逼,以为新版变化很大,换版会有很多工作量。这些人之所以会有这样的想法,是因为他们本身没对标准进行理解,只看表面的文字和结构。
由于以上的原因,很多人,这其中包括很多咨询顾问,面对新版标准的换版,根本讲不清楚要做哪些具体的工作,可能还是拿着以前的那套资料继续进行忽悠,毕竟这种事情之前就是这样做的(很多资料还是ISO/IEC 27001: 2005版的)。
ISO/IEC 27001: 2022新版标准整个框架是没有变化的(虽然附录A的结构变化很大,但是主要内容变化不多),这就决定了,换版工作不会有太多的工作量,而仅仅是局部的微调,包括体系文件和运行记录的微调。
要确定换版工作的内容,我们首先需要确定ISO/IEC 27001: 2022新版标准变化比较大的条款,这些条款会直接影响到企业的实施,而对于哪些轻微变化的条款,不会影响到企业信息安全管理体系实施的,则在换版过程中不需要关注。
| ISO/IEC 27001: 2022变化较大的条款(会影响实施的) | ||
| 序号 | 条款 | 变化描述 |
| 1 | 6.3 变更的策划 | 新增条款 |
| 2 | 9.3 管理评审 | 增加了c) |
| 3 | 10.1持续改进 | 10.1和10.2位置对调 |
| 4 | 10.2 不符合及纠正措施 | 10.1和10.2位置对调 |
| 5 | A.5.7 威胁情报 | 新增的控制项 |
| 6 | 5.23 使用云服务的信息安全 | 新增的控制项 |
| 7 | A.5.30 信息与通信技术(ICT)的业务连续性准备 | 新增的控制项 |
| 8 | A.7.4 物理安全监视 | 新增的控制项 |
| 9 | A.8.9 配置管理 | 新增的控制项 |
| 10 | A.8.10 信息删除 | 新增的控制项 |
| 11 | A.8.11 数据脱敏 | 新增的控制项 |
| 12 | A.8.12 数据泄露防护 | 新增的控制项 |
| 13 | A.8.16 监视活动 | 新增的控制项 |
| 14 | A.8.23 网页过滤 | 新增的控制项 |
| 15 | A.8.28 安全编码 | 新增的控制项 |
确定了以上变化较大的条款后,接下来,我们便是要确定换版的应对对策。
| ISO/IEC 27001: 2022变化较大的条款换版应对对策 | ||
| 序号 | 条款 | 换版应对对策 |
| 1 | 6.3 变更的策划 | 新增《信息安全变更管理程序》,若原来有相应的文件,只要在文件增加信息安全管理体系变更(如文件、职责和权限、流程等)的流程即可,然后按照文件输出相应的记录。 |
| 2 | 9.3 管理评审 | 修改《管理评审管理程序》,在输入内容中增加 9.3 c)要求的内容,同时更新相关记录,如管理评审计划,管理评审报告等 |
| 3 | 10.1持续改进 | 旧版10.1是不符合及纠正措施,需要更新信息安全管理手册,内审检查表中的条款号 |
| 4 | 10.2 不符合及纠正措施 | 旧版10.2是持续改进,需要更新信息安全管理手册,内审检查表中的条款号 |
| 5 | A.5.7 威胁情报 | 新增《威胁情报管理程序》,并输出相应的记录,如威胁情报分析报告,威胁情报涉及的资产整改记录等 |
| 6 | 5.23 使用云服务的信息安全 | 在《采购和供应链管理程序》中,增加云服务这类特殊供应商的管理要求,并输出相应的记录 |
| 7 | A.5.30 信息与通信技术(ICT)的业务连续性准备 | 在《业务连续性安全管理程序》中增加ICT连续性准备要求,如机房火灾、机房断电,服务器硬件故障,服务器系统故障等应急方案的制定,演练要求等 |
| 8 | A.7.4 物理安全监视 | 在《物理和环境安全管理程序》中,增加对物理区域的安全监视要求 |
| 9 | A.8.9 配置管理 | 新增《配置安全管理规范》,明确配置安全管理的类型,流程等要求,并输出相应的记录 |
| 10 | A.8.10 信息删除 | 在《数据安全管理规范》中,增加信息删除要求 |
| 11 | A.8.11 数据脱敏 | 在《数据安全管理规范》中,增加数据脱敏要求 |
| 12 | A.8.12 数据泄露防护 | 在《数据安全管理规范》中,增加数据防泄漏要求 |
| 13 | A.8.16 监视活动 | 在《基础设施使用和运维安全管理程序》中,增加监视活动要求 |
| 14 | A.8.23 网页过滤 | 在《网络安全管理程序》中,增加网页过滤要求,并输出过滤网页清单等记录 |
| 15 | A.8.28 安全编码 | 在《软件开发安全管理程序》中,增加安全编码要求,并输出各类编码语言的安全编码规范,代码检测记录等 |
在换版过程中,除了要有以上的应对策略外,由于新版附录A的结构,相较于旧版,全部被打乱了,所以与附录A有关的相关记录,如适用性声明(SOA),内审检查表等,必须重新进行更新。
因为在信息安全风险评估中,会使用到适用性声明(SOA),所以如果风险评估的记录中涉及到了附录A的条款号,也必须对风险评估的记录进行更新。
以上的换版的应对策略,仅仅对一些原先旧版做的比较完善的企业有效,如果原来旧版就是捣糨糊,如像上篇文章写道的ISO/IEC 27001咨询辅导服务的四个层次,仅仅获得了“层次一”的效果,不建议使用以上应对策略进行进行换版,建议重新寻找可靠的咨询进行全面的提升辅导(纯粹想拿证的企业除外)。
如果看完本篇文章,对于ISO/IEC 27001: 2022 换版还有疑惑的,可以选择以下附加服务:
| 服务类型 | 服务说明 | 服务费用 | 备注 |
| 服务一 | 提供本篇文章换版应对策略涉及的文件:《信息安全变更管理程序》《威胁情报管理程序》《物理和环境安全管理程序》《配置安全管理规范》《数据安全管理规范》《基础设施使用和运维安全管理程序》《网络安全管理程序》《软件开发安全管理程序》 | 68元 | 提供Word文档,可以在线解答相应的疑惑 |
| 服务二 | 按照本篇文章中的应对对策,现场指导换版工作(1人天) | 2000元+交通费 | 只接受个人劳务合作模式支付费用,对公的话费用会增加很多 |
| 服务三 | 旧版没有做好,进行全面提升 | 面议 | 可以以个人劳务合作模式,或者另找咨询机构进行合作,但服务内容和服务质量是不变的 |
另外本人正在寻找合作的咨询机构,有意向合作的咨询机构也可以联系我。
