联系我们:
想知道更多吗?
请求的信息信息安全管理体系标准ISO/IEC 27001为企业提供了一个管理风险和防范威胁的框架,以确保从财务信息、知识产权到员工详细信息等信息资产的安全。
如今,信息安全已被提上了几乎每家公司的议事日程。在新的情况下,紧迫性正在发生变化。随着云计算和自动化技术、网络安全、隐私、恶意软件和勒索软件的日益采用,企业被迫以结构化和可信的方式重新评估其背景、主要风险和威胁以及相关利益相关者。
由于上一个版本于2013年发布,所以有必要推出一个新版本,以帮助企业应对新的场景,并确保当前的安全控制到位。
修订的ISO/IEC 27001:2022
新的ISO/IEC 27001:2022版本解决了公司必须应对的新场景。根据ISO/IEC 27002的发布预期,变化主要集中在附件A中,其中增加、删除或合并了安全控制。这些变化扩展到包括网络安全和隐私方面,并且更新了控制语言并添加了额外的指导。这有助于企业管理风险,确保没有遗漏,并及时跟进。
上一个版本是在2013年发布的。不足为奇的是,安全控制的变化相当大,新增了11个,更新了58个,合并了24个。正在特别处理的不断变化的情况有:
- 云计算和自动化等数字技术的引入;
- 最近,越来越多地采用这种技术;
- 认识网络安全和隐私风险;
- 反映不断变化的威胁格局,例如新型恶意软件和勒索软件;
- 与其他最佳实践保持一致,例如NIST, COBIT等。
- 刷新控件语言并添加额外的指导
受这些变化影响的主要领域是:
- 领导力;
- 企业安全;
- 它功能;
- 其他支助职能;
- 交付(服务提供商)。
为了合规,组织必须重新评估其风险评估并重新建立安全控制。
除了控件的变化外,2022版还与ISO的高级结构(HLS)的最新更新进行了重新调整。这些更改基于ISO/IEC指令第1部分(2022)附录SL的最新版本。然而,这些变化被认为是很小的,因为2013年版是最早采用HLS的标准之一。
过渡时间
新版ISO/IEC 27001于2022年10月25日发布。过渡时间安排为3年。因此,现行的2013年证书需要在2025年11月之前过渡到新版本。
过渡审计可以在3年过渡期间的任何计划审计中进行,也可以作为特殊过渡审计进行。
为实施做准备
我们建议您尽早开始准备过渡,并适当计划将所需的变化纳入您的管理系统
过渡的建议步骤:
- 了解新标准的内容和要求。关注修订后的标准所隐含的变化。
- 确保组织中的相关人员接受过培训,并了解需求和关键更改。
- 确定为满足新要求而需要弥补的差距,并制定实施计划。
- 实施行动并更新管理体系以满足新的要求。
我们如何支持
无论您是目前通过ISO/IEC 27001认证,还是刚刚通过该标准,DNV都可以支持您的信息安全管理体系认证和转换。作为世界领先的认证机构,我们与世界各地大大小小的公司合作,满足他们的信息安全和隐私需求。
如果您准备从2013版本过渡到2022版本,我们可以为您提供以下支持:
- 培训,您将了解修订,并获得关键更改和过渡过程的基本概述。
- 在线自我评估工具和现场/场外差距评估,以衡量您的管理体系满足新要求的程度。
- 转换审核,使您的认证与新版标准保持一致。
我们可以支持你的每一步。
首次探索ISO/IEC 27001认证?请访问我们的信息安全管理系统服务页面,了解更多信息安全管理系统的特点、优势和认证之路