为什么信息安全管理体系标准要更新? 根据麦肯锡公司《数字时代的网络安全》报告,随着越来越多的企业在后台运营和面向客户的业务中依赖数字服务,信息安全所面临的数字威胁也在持续演变。ISO/IEC 27001 的修订旨在更好地反映现代商业实践,增强企业在数字化环境中的竞争力。 ISO/IEC 27001:2022 的关键变化 新的 ISO/IEC 27001:2022 标准引入了几项重要更新,以简化合规流程,并更好地应对当今的信息安全挑战: 结构简化:标准要求从 14 个控制域方面精简为四大核心领域,包括组织控制架构、人员控制管理、物理控制安全和技术控制保障,提升了标准的实施效率和针对性。 控制措施更新:标准中的控制措施从 114 项减少至 93 项,部分措施进行了合并、删除或更新,并引入了新的控制措施,以适应不断变化的信息安全风险。 属性概念引入:为与通用数字术语保持一致,新标准引入了五大属性,包括控制类型、信息安全属性特性、网络安全概念、运营能力和安全领域,有助于更精准地描述和管理信息安全风险。 过渡分步指南 1 获取标准文件并进行差距分析:购买 ISO/IEC
27001:2022标准,关联的控制措施参考 ISO/IEC 27002: 2022。将现有 ISMS 与新标准要求进行对比,识别差距和改进方向。 2 制定行动计划并更新 ISMS:根据差距分析结果,制定详细的行动计划,明确改进措施和时间节点,确保在 2025 年 10 月 31 日前完成所有必要的更新。 3 与认证机构沟通协调:及时与认证机构联系,确保评估和过渡审核的时间安排,并确认相关资源。建议提前数月完成过渡审核,以应对可能出现的延误。 4 考虑备选认证机构:未能在 2025 年 10 月 31 日前完成过渡的证书将失效,企业需重新启动认证流程。因此若与现有认证机构的时间安排存在困难,需考虑联系其他认证机构。 错过过渡截止日期的风险 网络安全风险加剧:随着云计算和数字化转型的加速,企业面临的网络安全威胁不断增加。ISO/IEC 27001:2022 更新的控制措施旨在应对这些新兴风险,包括强化云环境安全、数据隐私保护和新兴技术安全。 合规成本增加:未按时完成过渡的企业,其证书将于 2025 年 10 月 31 日失效,可能导致合规性问题和合同纠纷,进而引发业务损失、罚款或法律责任。
欢迎来到广汇联合(北京)认证服务有限公司,ISO10012测量管理体系认证专家
QQ客服
首页
QQ
微信
电话
