ISO/IEC 27001∶2022标准正式发布

10月25日，第三版ISO/IEC 27001∶2022信息安全管理体系标准正式发布，取消和替代了第二版ISO/IEC 27001∶2013，即现行的GB/T 22080-2016“信息技术 安全技术 信息安全管理体系 要求”，现有获得ISO 27001认证的组织将在3年内完成标准的转版。

ISO/IEC 27001∶2022主要变化点

·ISO/IEC 27001∶2022标题改为“信息安全、网络安全和隐私保护-信息安全管理体系-要求”，与ISO/IEC 27002∶2022的标题“信息安全、网络安全和隐私保护-信息安全控制”一致。

·所列的控制项从114项减少到93项。

·在ISO/IEC 27001∶2022中引入了新的子条款，如“6.3 变化的规划”“9.2.1 总则”“9.2.2 内部审核方案”“9.3.1 总则”“9.3.2 管理评审输入”“9.3.3 管理评审结果”。新的子条款的引入进一步协调了与其他管理体系标准的文件结构，如ISO 9001∶2015、ISO 22301∶2019。

·在ISO/IEC 27001∶2022中引入了新的文本，并重新安排了一些文本，但它们只是澄清了要求，并没有给标准增加新的要求。

·删除了某些控制项。

·推出了11项新的控制项。

·合并了24项控制项。

·更新了58项控制项。

·引入了属性的概念。

·ISO/IEC 27001∶2022附录A的标题改为“信息安全控制措施参考”，并且新增、删除以及合并了一些安全控制措施，附录A被修订为与ISO/IEC 27002∶2022中的信息安全控制保持一致。然而，与2013年版本的情况一样，只有控制的描述来自于ISO/IEC 27002∶ 2022。ISO/IEC 27002∶2022中的其他元素，如控制的目的和属性，并没有包括在ISO/IEC 27001∶2022附录A中。变更内容包含网络安全和隐私方面，更新了控制语言并添加了额外指导。变更内容有助于公司管理风险，确保没有遗漏并及时跟进。

转版注意事项

ISO/IEC 27001∶2022转版时间为3年，现有证书需要在2025年11月前转版到新版本。

为顺利过渡到新版本，已经通过ISO/IEC 27001∶2013认证的组织需要引起重视，根据新的子条款和修改后的要求修订内部政策，并根据ISO/IEC 27001∶2022附录A修订风险评估结果和风险处置计划。ISO/IEC 27001的2024年度评审，还可以按照旧版进行审核，但是2025年9月证书就会失效，建议各组织可以准备按照新版ISO/IEC 27001∶2022进行审核。