2022年10月25日 星期二

[新知] ISO 27001:2022 新版資安管理系統 (ISMS) 國際標準正式發行


眾所矚目的ISO 27001:2022新版資安管理系統 (ISMS) 國際標準,終於在今日正式公布發行了,以下簡要地說明新版標準與舊版之間主要的差異:

1.  ISO 27001:2022新版國際標準從原本的「資訊技術-安全技術-資訊安全管理系統-要求事項 (Information technology - Security techniques — Information security management systems — Requirements),更名為「資訊安全、網路安全和隱私保護-資訊安全管理系統-要求事項 (Information security, cybersecurity and privacy protection — Information security management systems — Requirements)

2.  ISO 27001:2022新版國際標準的附錄A,採用了今年二月中已更新發行的ISO 27002:2022的四個控制領域 (組織、人員、實體、技術) 93個控制措施。在舊版標準中所使用的控制目標 (Objective) 被移除了,改為以目的 (Purpose) 來取代,至於新增加的5個控制屬性 (five attribute),則可由組織自行選用,並非強制要求。

3.  ISO 27001:2022新版國際標準的內容文字,以文件 (document) 取代原先使用的國際標準 (International Standard)

4.  ISO 27001:2022新版國際標準在本文「4.4資訊安全管理系統」,要求定義建 立、實作、維持及持續改善資訊安全管理系統所需的流程 (process)

5.  ISO 27001:2022新版國際標準更明確要求在組織內和資安有關的溝通角色。

6.  ISO 27001:2022新版國際標準,微調了部份條款內容和編號,例如: 原先的「9.2 內部稽核」內容增加了「9.2.1 General 一般要求」和「9.2.2 Internal audit programme 內稽計畫」;「9.3管理審查」內容則增加了「9.3.1 General 一般要求」、「9.3.2 Management review inputs 管理審查輸入」及「9.3.3 Management review results 管理審查結果」。另外,原先舊版標準的「10 改善」,則是調整順序為「10.1 Continual improvement 持續改善」和「10.2 Nonconformity and corrective action 不符合項目及矯正措施」,僅將原先的編號對調但內容要求不變。


轉版時程與規劃安排

依據所得知的消息,自2022111日起將會有3年的新舊版證書轉換期,所有的2013年舊版標準證書,預計將在2025111日起失效。

目前已取得2013年舊版證書的組織,可以選擇在既定的後續審查 (CAV) 或三年重審 (RA) 時,同時進行轉版稽核,但要注意的是2024年51日起,想要申請 ISO 27001 首次驗證 (IA) 或進行三年重審的組織,就不能選擇再採用2013年舊版標準來進行稽核了。

至於轉版的規劃,以下步驟可作為參考:

1.  取得新版的ISO 27001:2022國際標準,若有需要也可取得ISO 27002:2022國際標準,以便了解新版控制措施的實施指引。

2.  針對新版國際標準的要求,進行差異分析 (包括本文和附錄A) 和風險評鑑

3.  針對ISMS管理體系和現有的控制措施,實施必要的改變和調整,並保留實施的文件化證據 (在轉版驗證時提供給稽核員看)

4.  請務必更新適用性聲明書 (SOA) 以反映所實施新版國際標準的控制措施,並且說明適用和不適用的理由。

5.  主動與組織的驗證單位連繫,提早確認預計要進行轉版稽核的時間。