ISO 27001 2013 与 ISO 27001 2022 主要区别
什么是ISO 27001:2022?
ISO 27001 2022 是一项国际标准,指导组织管理、实施和维护信息安全。这些指南详细说明了有助于认证过程的要求和过程。
ISO 27001 2022 是 ISO 27001 的第三版也是最新版本。它具有许多技术修订。该文本现在与ISO 27002:2022管理体系标准的协调结构保持一致。
ISO 27001 2013 与 ISO 27001 2022:主要区别
标准名称
第一个明显的变化是标准的名称。
以前,它是《信息技术 - 安全技术 - 信息安全管理系统 - 要求》。
现在,它是《信息安全,网络安全和隐私保护 - 信息安全管理系统 - 要求》。
文档长度
其次,2013年文件中的页数为23页,而当前版本只有19页。
结构变化
目录的结构已更改。规划、支持、运营和绩效评估等部分现在有更多的子条款。它更清晰易读,更易于实施。
术语和定义
ISO 27001:2013 第 3 节仅提及 ISO 27000。ISO 27001:2022 是指除 ISO 27k 之外的 ISO 和 IEC 术语数据库。
组织背景
2022 版标准第 4 节在第 4.2 条(了解利益相关方的需求和期望)的基础上增加了一个子条款。此子条款要求组织确定其他两个子条款中规定的哪些要求将通过其 ISMS 解决。
此外,2013年版的子条款4.4(信息安全管理系统)仅提到了要求。经修订的文件提到纳入所需程序及其相互作用。
规划
2013版第6节第6.2条(信息安全目标和实现这些目标的计划)有十项要求。2022 版本现在包括两项新要求——受到监控并作为记录信息提供。
本节还纳入了一个新的条款 - 6.3(变更计划)。这要求组织以计划或系统的方式实施更改。
支持
第7节第7.4条(沟通)有五条内部和外部沟通准则。ISO 27001:2022 版本有四个准则,其中第四个(如何沟通)取代了最后两个(关于谁以及将受到影响的过程)。
运行
2022 年第 8 节第 8.1 条(运营规划和控制)就如何满足第 6 条的要求和行动制定了两项新准则。这些包括建立流程标准并根据标准实施控制。
绩效评估
2022 年新版本的第 9 节第 9.1 条(监控、测量、分析和评估)现在要求组织评估信息安全的绩效和 ISMS 的有效性。
第9.2条(内部审计)现在细分为两个子条款;9.2.1 – 一般和 9.2.2 – 内部审计计划。准则案文保持不变。
条款9.3(管理评审)细分为9.3.1 – 一般和9.3.2 – 管理评审输入。9.3.2 包括管理层在审查时应考虑的准则的额外要求;与ISMS相关的各方的需求和期望的变化。
改进
第10条只有一个条款;10.1(不合格和纠正措施)。本节现在有两个条款;10.1(持续改进)和10.2(不合格和纠正措施)。准则案文保持不变。
从本质上讲,ISO 27002:2022 已将重点从信息安全转移到更广泛的方法,包括云安全、数据保护和物理安全。
