ISO/IEC 27001:2022已于2022年10月25日正式发布,此前ISO/IEC 27001:2022也已经在2022年2月正式发布。那么,ISO/IEC 27001:2022与ISO/IEC 27001:2013相比,主要有哪些新的变化呢?
ISO/IEC 27001:2022延续了ISO/IEC 27001:2013基本架构和基本思路,因此总体看来,ISO/IEC 27001:2022没有太大变化,虽然附录部分调整比较大,但是基本上实在原来的基础变动的,附录本身属于底层执行的要求,也没有增加太多新东西。
ISO/IEC 27001:2022主要有三方面的变化:
(一)标准的标题稍微有所变化。原先的“信息技术-安全技术”变成了“信息安全、网络安全、和隐私保护”;
(二)标准的正文部分,进行了轻微的调整。主要把其他体系标准如ISO 9001的内容放到ISO/IEC 27001:2022中去了,主要的变化集中在4.2, 6.2, 6.3, 和8.1。详细变化可以参考以下附件ISO/IEC 27001:2022与ISO/IEC 27001:2013对照表:
https://bbs.27001.cn/147-1-1.shtml
(三)标准的附录A,整个结构与之前相比变化较大,但内容变化不多。ISO/IEC 27001:2013附录A有14个领域,114项控制要求,ISO/IEC 27001:2022把控制要求减少到93项(有合并、有新增要求),分为4个领域。有35个控制要求和原来保持一样,原来的57个控制要求合并成了24个新的控制要求,还有原来的一个控制要求拆分为两个,新增了11个新的控制要求。详细变化可以参考以下附件ISO/IEC 27001:2022附录A与ISO/IEC 27001:2013附录A对照表:
