条款 | ISO/IEC 27001:2022 | ISO/IEC 27001:2013 | 专家解读 |
4.1 理解组织及其环境 | 注:确定这些问题是指建立组织的外部和内部环境在考虑ISO 31000:2018第5.4.1条 | 注:确定这些问题是指建立组织的外部和内部环境考虑在ISO 31000:2009第5.3条 | 备注中对ISO 31000的引用是根据新版的ISO 31000更新的。 |
5.1 领导和承诺 | 注:"本文件中提到的 "活动 "可被广义地解释为指那些对组织存在的目的具有核心意义的活动。" | / | 在ISO/IEC 27001:2022第5.1条中增加了一个新的备注。 |
5.3 组织角色、责任和权力 | 最高管理层应确保与信息安全有关的角色的责任和权限在该组织内得到分配和沟通。 | 最高管理层应确保与信息安全有关的角色的责任和权限得到分配和传达。 | ISO/IEC 27001:2022规定,信息安全责任和权限应在组织内进行沟通。与组织外各方的沟通在7.4中涉及。 |
6.1.3 信息安全风险处置 | c) 注2:附录A包含列表中可能的信息安全控制。 | c) 注2:附录A包含一个全面的清单控制目标和控制措施。 | 该说明改写为:附录A中所列的信息安全控制措施是一份可能的信息安全控制措施清单,而不是一份全面的清单。它澄清了附录A的控制措施并非详尽无遗,可以包括额外的信息安全控制措施,正如该条款的第二个注释所指出的。 |
8.1 运行规划和控制 | 组织应计划、实施和控制满足要求所需的过程,并做到实施第6条中确定的行动。 | 为了满足信息安全要求以及实现6.1 中确定的措施,组织应规划、实现和控制所需要的过程。组织还应实现为达到6. 2 中确定的信息安全目标一系列计划。 | 第8.1条中的句子被重新表述,但要求没有改变。 |
组织应确保外部提供的相关过程、产品或服务对信息安全管理体系进行控制 | 组织应确保外包过程是确定的和受控的。 | 信息安全方面的一些服务,如数据中心或云服务,被归类为外部提供而不是外包更合适。 |
9.1 监测、测量、分析和评9.2.2 内部审核方案9.3.3 管理评审结果 | 应提供文件化信息作为结果的证据 | 组织应保留适当的文件化信息作为监视和测量结果的证据。 | 与文件信息要求有关的句子被重新措辞,但要求没有改变。 |