ISO27001是一種信息安全管理體系(Information Security Management System, ISMS)標準，是世界上廣泛應用的、通用及可證明的信息安全管理框架之一，旨在通過采取一系列信息安全管理制度、流程和控制措施，確保組織能夠最大限度地保護其信息資產和利益。

01

2022與2013版的主要區別

ISO/IEC27001:2022版本于2022年10月發布，新版發生了較大的變化，標題也由《信息技術-安全技術-信息安全管理體系要求》改為《信息安全-網絡安全-隱私保護-信息安全管理體系要求》，具體改變包括：

1）正文框架的變化

標準正文的框架性要求沒有出現較大變化，主要是增加6.3變更計劃，對9.2內部審計和9.3管理評審進行了調整，對第10章兩個子條款的順序進行了互換，其他個別條款進行了微調。

2）附錄A控制項的核心變化

2022版對附錄A中信息安全控制框架結構進行了重新構建，2013版的14個安全控制域合并后總結歸納為人員、物理、技術、組織四大主題，這樣的分類更加簡單，更加方便組織對安全控制項進行選擇歸類，以加強信息安全控制措施的實施。

3）新增11個安全控制項

2022版的控制項相比2013版，從114個變為93個，其中新增11個控制項，更新58個控制項，合并24個控制項。

新版增加了11個安全控制項，新增加的控制項主要集中在組織控制和技術控制兩個主題：

--組織控制主題中增加了威脅情報、云服務以及業務連續性的控制點。

--技術控制主題主要是增加了關于數據安全、配置管理、信息刪除、數據防泄漏、數據屏蔽、監控活動、網站過濾、安全編碼等控制點。

--物理控制主題增加了物理安全監控。

總之，為了適應數字化轉型以及組織面臨的安全風險，2022版更強調了信息安全管理（ISMS）的規范性和適用性，更適應當前的信息安全發展趨。

技術驅動，因為云計算、移動互聯的使用，使得組織的工作方式發生了很大的變化，也帶來了無邊界、零信任等新的技術概念。在新版標準中新增了7個技術控制的控制項，包括數據安全、云服務安全、配置管理、安全編碼等管理控制。

管理流程，由于外在環境與內部業務都在發生劇烈的變化，信息安全管理流程需要去適應業務的變化，管理流程應更加彈性的實施并開展監督活動。 新版標準從技術驅動、管理流程、適應與多方協調帶來了信息安全管理新范式。

4）新增控制措施屬性 2022版還有一個重大的變化就是對控制措施增加了5個屬性，分別為控制類型、信息安全屬性、網絡概念、運營能力和安全域。

組織可以使用屬性來創建不同的視圖，這些視圖是從主題的不同角度來對控制進行不同的分類。每個控制都與具有相應屬性值的五個屬性相關聯。屬性可用于在不同的視圖中為不同的受眾篩選、排序或呈現控制。可以通過特定屬性值過濾來創建視圖，例如下圖是糾正性的控制視圖。

02

重大控制點變化解讀

1）加強業務連續性管理

ICT為業務連續性做好準備是業務連續性管理和信息安全管理的一個重要組成部分，以確保在中斷期間能夠繼續實現組織的目標。

在業務連續性和ICT連續性規劃方面，有必要根據與正常運行條件相比的中斷類型來調整信息安全要求。作為在業務連續性管理中執行的業務影響分析和風險評估的一部分，應考慮維護可用性的需要，還應考慮失去信息機密性和完整性的后果并確定其優先級。

2）加強云服務的信息安全管理

加強管理云服務供應鏈的信息安全，其中云服務提供商依賴于軟件開發商、電信服務提供商、硬件提供商等，定義實施流程和程序，以管理云服務供應鏈相關的信息安全風險。

另外，還應關注云環境的安全配置、云上數據的備份、日志記錄、云環境的時鐘同步、云環境的測試等安全問題。

3）加強個人數據、隱私保護等數據安全管理

從《網絡安全法》、《數據安全法》到《個人信息保護法》，國家加強了對個人信息保護及企業數據合規的監管，數據安全的保護變得越來越重要。

審核編輯：黃飛