ISO/IEC27001:2022
信息安全管理体系介绍
01ISO/IEC27001信息安全管理体系简介
随着信息技术的高速发展,各类组织对IT系统的依赖也日益加重,信息技术几乎渗透到了世界各地和社会生活的方方面面。对信息加以保护,防范信息的损坏和泄露,已成为当前组织迫切需要解决的问题。
guojibiaozhun化组织(ISO)和国际电工委员会(IEC)于2005年10月15日联合发布了guojibiaozhunISO/IEC27001《信息技术-安全技术-信息安全管理体系-要求》,旨在为所有类型的组织,包括政府、银行、电讯、研究机构、外包服务企业、软件服务企业等,在建立、实施、运行、监视、评审、保持和改进信息安全管理体系时提供模型,通过一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作,并规定了为适应不同组织或其部门的需要而制定安全控制措施的实施要求。ISO/IEC27001标准涉及了Zui广泛意义上的信息安全,为组织实施、维护和管理信息安全提供了zuihao的商业操作指南和原则,并可以用作第三方认证的依据。2013年10月19日ISO/IEC27001:2013版标准颁布实施。2016年8月29日,国标版GB/T22080-2016/ISO/IEC27001:2013颁布实施。2022年10月25日,信息安全管理体系认证标准ISO/IEC27001由ISO/IEC 27001:2013正式升级换版为ISO/IEC 27001:2022。
02ISO/IEC27001信息安全管理体系作用1.符合法律法规要求
2.维护企业的声誉、品牌和客户信任
3.履行信息安全管理责任
4.增强员工的意识、责任感和相关技能
5.保持业务持续发展和竞争优势
6.实现风险管理
03ISO/IEC27001:2022信息安全管理体系新版标准主要变化1、标题由《信息技术-安全技术-信息安全管理体系-要求》变为《信息安全-网络安全和隐私保护-信息安全管理体系-要求》;
2、新增运营能力域和控制主题
ISO/IEC27002:2022标准中,列出了93个控制项,这些控制项涵盖了4个主题和15个安全运营能力域。这些改动使得新版标准更具有针对性和实用性,更能满足现代信息安全管理的需求。
(1)15个安全运营能力域
运营能力是从组织的信息安全能力角度来看待控制的一个属性。包括治理、资产管理、信息保护、人力资源安全、物理安全、系统和网络安全、应用安全、安全配置、身份和访问管理、威胁和漏洞管理、连续性、供应商关系安全、法律和合规性、信息安全事件管理和信息安全保障。
与旧版本的14个控制域相比,新标准的15个运营能力域有几个明显的变化,如新增了“信息保护”“安全配置”“威胁和漏洞管理”领域;部分领域的名称也有了变化,如“信息系统获取、开发和维护”改为“应用安全”、“通信安全”改为“系统和网络安全”等。新标准的15个运营能力域与旧标准的14个控制域之间的对应关系如下表:
(2)4个控制主题和93个控制项
附录A引用了ISO/IEC27002:2022中描述的信息安全控制,新增11项,更新58项,合并24项,主要涉及组织、人员、物理和技术四个方面。修订后的2022版将93项控制措施分配到组织、人员、物理、技术四大主题,这样方便了组织对安全控制点进行选择归类,通过归类的特定主题策略支持信息安全策略,以加强信息安全控制的实施。
2022版本相对于2013增加了11个安全控制项,包括:威胁情报、使用云服务的信息安全、业务连续性的ICT准备、物理安全监控、配置管理、信息删除、数据屏蔽、数据防泄露、监控活动、网站过滤和安全编码。增加的控制项主要集中在组织和技术这两大主题,组织控制主题中增加了云、威胁情报,以及业务连续性的控制点,而技术控制主题主要是增加了关于配置管理、数据安全等控制点。新版中增加的11个控制项说明如下表:
3、修改了条款中的措辞,以消除存在的潜在歧义,例如使用“外部提供的过程、产品和服务”以取代原标准第8.1条款中的“外程”;
4、新增子条款(ISO/IEC27001:2022)
6.3 | 变更的规则 |
9.2.1 | 总则 |
9.2.2 | 内部审核方案 |
9.3.1 | 总则 |
9.3.2 | 管理评审输入 |
9.3.3 | 管理评审结果 |
5、对第10条款-改进的两个子条款交换顺序;
6、参考书目中列出的相关文件进行版本更新,例如ISO/IEC27002:2022和ISO 31000:2018均引用了Zui新版;
7、对原标准ISO/IEC27001:2013中的高层结构、核心文本、通用术语和核心定义进行了更精准的描述。
04转版周期ISO/IEC 27001:2022发布月份Zui后一天起36个月,即2025年10月31。2025年11月1起认证标准包含ISO/IEC 27001:2013的认证证书全部失效。
05申请认证所需材料
1、营业执照、公司其他各类资质文件
2、信息安全管理手册、适用性声明、信息安全策略
3、程序文件(人力资源管理程序、文件控制程序、业务持续性管理程序、内部审核控制程序、管理评审程序、信息安全风险评估控制程序、信息安全管理体系有效性测量控制程序、计算机管理制度、信息处理设施维护控制程序、重要信息备份管理程序、网络中间设备配置管理规定、容量管理程序、互联网使用策略、外部信息发布管理程序、信息安全管理体系运行日常检查程序、软件开发控制程序、软件测试作业指导书、系统开测试过程信息安全要求、法律法规、相关方要求识别与符合性评估管理程序、事件、薄弱点与故障管理程序、物理访问控制程序、用户访问控制程序、机房安全管理规定、数据传输的安全及保密控制程序、电子邮件使用规定、系统访问与使用监控管理程序、保密管理规程、可移动媒体使用与处理规定、恶意软件控制程序、信息安全惩戒奖励管理程序、改进和纠正措施控制程序、基础设施与工作环境控制程序、外部供方控制程序)
4、管理体系运行记录
5、需上报资料
1) 有效版本的管理体系文件(方针、目标、管理体系范围等)
2) 营业执照(副本)或机构成立批文的原件复印件;
3) 相关资质文件的原件复印件(法律法规有要求时);
4) 产品或服务质量标准清单;
5) 生产/服务流程图;
6) 组织机构图;
7) 认证场所清单;(适用于有多个相同或类似场所的情况,如分公司、分厂、项目部、服务点等)
8) 原认证机构颁发的有效认证证书及认证周期内的历次审核报告、不符合项报告及整改资料;(适用于认证转换)
9) 客户信息化建设情况说明,包括:
a) 机房数量及所在物理位置;
b) 服务器数量及用途说明;
c) 网络设备的架设和设置情况说明,如:路由器、交换机、硬件防火墙、IDS等;
d) 客户使用的信息系统有哪些,自主开发和第三方开发的分别有哪些;
e) 客户的网站维护情况;
f) 网络拓扑图。
10) 客户的关键特征(包括:客户的职能部门和相关职责、 ISMS范围内的角色和职责描述,以及其与组织结构的关系)
11) 风险评估报告
12) 适用性声明
06申请认证流程
项目启动—培训—企业现状调研—成立ISO小组—体系文件编写和发布—体系运行—认证申请—接待外部审核—领证。
07认证周期
3个月左右。