信息安全管理体系介绍
—
珍惜每一份信任,忠于每一份委托
ISO/IEC27001:2022
1 ISO/IEC27001:2022 版本2022年10月25日正式发布实施
ISO/IEC27001:2022 《信息安全 网络安全 隐私保护 信息安全管理体系 要求》标准已经于2022年10月25日正式发布,取消和替代了第二版(ISO/IEC 27001:2013),即现行的GB/T22080-2016《信息技术 安全技术 信息安全管理体系 要求》,现有获ISO27001认证的单位将在三年内陆续完成标准的转版。
2 新版本体现在文件架构的保持与最佳实践的进化
本次升级主要是基于信息安全最佳实践的发展进行了技术性修订,以与管理体系标准的高阶结构及ISO/IEC 27002:2022《信息安全 网络安全 隐私保护 安全管理体系 要求》保持一致。
总体来看,标准正文的框架性要求没有出现较大变化。主要增加了6.3变更控制条款,其他个别条款如9.2内部审核、9.3管理评审等要求及注解进行了更加明确的编辑性调整,以与其他管理体系协调的高阶结构的进步保持一致。
3 信息安全管理体系升级换版思路
随着信息社会的发展,各种云服务、数据资产、网络安全与隐私保护等信息及其资产已经成为了人们生活中的一部分,信息安全的挑战也越来越大,但信息安全的管理理念在ISO/IEC27001:2022与ISO/IEC27002:2022中得到了传承。
由于信息安全管理体系的方式与思维没有发生变化,基于过程方法、PDCA循环与风险思维的路径仍然有效,现有组织如果升级信息安全管理体系时,管理体系文件方面变化不大,可以继续使用,但应强化跟进信息安全技术的新发展。
在现有完整的一整套管理体系下(包括但不限于方针、策略、规则、流程、程序、架构、软件硬件等),应当基于改进的原则,从主要业务流程切入,从双生命周期(信息自身从创建产生到处置灭失全生命周期、信息系统及其他资产的构思确定设计到维护退出的全生命周期)的维度分析,对现有适用性声明进行重新的评估,根据组织相关方、法律法规及其他要求,以分级的理念,结合附录要求及ISO/IEC27002:2022标准提供的控制参考,进行信息安全控制的重新识别、规定、实施、保持与改进。
颁发ISO27001信息安全管理体系证书的认证机构必需是经过CNCA国家认证监督委员会(认监委)认可的认证机构方可在国内进行审核发证,所有通过认证且合法的证书均可在CNCA的网站上进行查询。国外的认证机构如果没有在国内CNCA备案,即使认证机构得到了认可单位是UKAS或者ANAB等等的认可,也是不符合中国的法律法规的,视为违规操作,被发现将会被CNCA处罚并公示证书在国内无效。经CNCA认可的认证机构可以在CNCA网站上查询。