ISO27001转版建议

583516113

目前运行的是2013版，后面肯定要转成2022版ISO27001的，论坛的大佬们讨论一下？

我建议：
1.先培训；
2.文件升级：正文新增条款和附录新增控制项，要升级到原有文件；
3.内审，内审检查表，要按新版条款编写；
4.适用性声明，要按照新版附录A重新编写。

Daniel.C

已经是2022了吧

765198142

ISO/IEC 27001: 2022虽然做了一些变动，也新增了一些内容，但是体系的架构没变，仅仅是ISO/IEC 27001: 2013基础上进行一些微调，因此在转版时，不会有太多的额外工作量。
要在ISO/IEC 27001: 2013基础上进行变动而符合ISO/IEC 27001: 2022的要求，主要考虑以下几个方面：
（一）文件的调整：新版正文和附录都新增了要求，如正文的6.3，以及附录新增的11个控制项，要确保这些新增要求在体系文件（如信息安全管理手册，信息安全策略，程序文件，适用性声明等）中得到体现，这可以在原有文件上修订或新增文件实现。另外，针对新版其他微调的条款，也可以对相应的文件，如信息安全管理手册，进行稍微的修改，这个不调整，也基本不会有太大影响。
（二）记录的调整：由于新版条款发生了一些变化，特别是新增的条款，因此有些记录，如内审检查表，要进行更新。
（三）风险评估的调整：新版的变化对风险评估过程没有影响，只是新版附录A的结构变化较大，也增加了11个新的控制项，因此在进行风险处置的时候需要参照新版附录A的控制项。

kellyz

谢谢分享

lip12557

既然标准都已经更替，GBT20984-2007已经被GBT20984-2022 信息安全技术 信息安全风险评估方法替代。。。。还在用旧的国标做风险评估似乎说不过去了吧？

nikoyang