眾所矚目的ISO 27001:2022新版資安管理系統 (ISMS) 國際標準,終於在今日正式公布發行了,以下簡要地說明新版標準與舊版之間主要的差異:
1. ISO 27001:2022新版國際標準從原本的「資訊技術-安全技術-資訊安全管理系統-要求事項 (Information technology - Security techniques — Information security
management systems — Requirements),更名為「資訊安全、網路安全和隱私保護-資訊安全管理系統-要求事項
(Information security, cybersecurity and privacy protection —
Information security management systems — Requirements)。
2. ISO 27001:2022新版國際標準的附錄A,採用了今年二月中已更新發行的ISO 27002:2022的四個控制領域 (組織、人員、實體、技術) 與93個控制措施。在舊版標準中所使用的控制目標 (Objective)
被移除了,改為以目的
(Purpose) 來取代,至於新增加的5個控制屬性 (five attribute),則可由組織自行選用,並非強制要求。
3. ISO 27001:2022新版國際標準的內容文字,以文件 (document)
取代原先使用的國際標準
(International Standard)。
4. ISO 27001:2022新版國際標準在本文「4.4資訊安全管理系統」,要求定義建 立、實作、維持及持續改善資訊安全管理系統所需的流程 (process)。
5. ISO 27001:2022新版國際標準更明確要求在組織內和資安有關的溝通角色。
6. ISO 27001:2022新版國際標準,微調了部份條款內容和編號,例如: 原先的「9.2 內部稽核」內容增加了「9.2.1 General 一般要求」和「9.2.2 Internal audit programme 內稽計畫」;「9.3管理審查」內容則增加了「9.3.1 General 一般要求」、「9.3.2 Management review inputs 管理審查輸入」及「9.3.3 Management review results 管理審查結果」。另外,原先舊版標準的「10 改善」,則是調整順序為「10.1 Continual improvement 持續改善」和「10.2 Nonconformity and corrective action 不符合項目及矯正措施」,僅將原先的編號對調但內容要求不變。
轉版時程與規劃安排
依據所得知的消息,自2022年11月1日起將會有3年的新舊版證書轉換期,所有的2013年舊版標準證書,預計將在2025年11月1日起失效。
目前已取得2013年舊版證書的組織,可以選擇在既定的後續審查 (CAV) 或三年重審 (RA) 時,同時進行轉版稽核,但要注意的是從2024年5月1日起,想要申請 ISO 27001 首次驗證 (IA) 或進行三年重審的組織,就不能選擇再採用2013年舊版標準來進行稽核了。
至於轉版的規劃,以下步驟可作為參考:
1. 取得新版的ISO 27001:2022國際標準,若有需要也可取得ISO 27002:2022國際標準,以便了解新版控制措施的實施指引。
2. 針對新版國際標準的要求,進行差異分析 (包括本文和附錄A) 和風險評鑑。
3. 針對ISMS管理體系和現有的控制措施,實施必要的改變和調整,並保留實施的文件化證據
(在轉版驗證時提供給稽核員看)。
4. 請務必更新適用性聲明書
(SOA) 以反映所實施新版國際標準的控制措施,並且說明適用和不適用的理由。
5. 主動與組織的驗證單位連繫,提早確認預計要進行轉版稽核的時間。
