ISO/IEC 27001:2022改版重點與因應之道
綜觀ISO/IEC 27001:2022全文,對比ISO/IEC 27001:2013主要有下列較顯著差異:1. 標準名稱由ISO/IEC 27001:2013之Information technology - Security techniques - Information security management systems - Requirements調整為Information security, cybersecurity and privacy protection - Information security management systems - Requirements,除了既有的資訊安全,更強調了網路安全及隱私保護等近期備受注目的安全或合規議題。
2. 新增6.3 Planning of changes次條款,強調組織應有計畫性地回應資訊安全管理制度之變更需求。
3. 調整了12項次條款內容,其中對資訊安全管理運作較有影響之6項次條款說明如下:
l 4.1 Understanding the organization and its context
因應ISO 31000最新版為2018年版,調整實作參考為ISO 31000:2018。
l 4.2 Understanding the needs and expectations of interested parties
明確要求組織應回應關注方之資安要求。
l 6.2 Information security objectives and planning to achieve them
明確要求資訊安全目標應可被監控及可被取得。
l 7.4 Communication
簡化了有關對外溝通方法之要求描述。
l 8.1 Operational planning and control
明確要求應建立實施資訊安全管理制度之各項準則與控制要求,以期達成所規劃之預期成果。另將委外程序(outsourced processes)調整為由外部單位提供之程序、產品、或服務(externally provided processes, products or services),某種程度消除了對「委外」定義之歧見所導致之管控差異(如金融業得委外事項之認定)。
l 9.3 Management review
明確要求管理審查議題應包括關注方需求與期待之變化情形。
4. 以做為資訊安全管理實作指引的ISO/IEC 27002:2022(2022/2月公告發行)為依據,更新了附錄A(Annex A)資訊安全控制參考(Information security controls reference),控制要求數目自ISO/IEC 27002:2013的114項調整為ISO/IEC 27002:2022的93項,其中包括了11項新增之控制要求。
張晉瑞提醒,目前已取得ISO/IEC 27001:2013認證之組織,其持有之ISO/IEC 27001:2013認證將會有約三年的緩衝有效期,此期間做為組織之轉版準備期,可進行差異分析、調整現行資訊安全管理制度,以及因應新的風險態勢自ISO/IEC 27001:2022附錄A選擇並落實適當之控制措施,力求於緩衝有效期內通過轉版驗證;尚未取得ISO/IEC 27001認證且有意取證之組織,雖然於2024年初之前可能仍被允許辦理ISO/IEC 27001:2013驗證作業,但考量通過驗證後會因緩衝期限將至而必須隨即安排轉版驗證,故直接取得ISO/IEC 27001:2022認證實屬上策。 谢谢分享 谢谢分享 谢谢分享 感谢分享 {:1_180:} 感谢楼主分享 {:1_180:} {:1_180:} {:1_180:}
页:
[1]
2