ISO27001认证体系
国际标准化组织(ISO)于2022年10月25日发布了ISO/IEC 27001:2022《Information security, cybersecurity and privacy protection—Information security management systems — Requirements》(信息安全、网络安全和隐私保护 信息安全管理体系 要求),该标准代替了ISO/IEC 27001:2013.该标准将作为信息安全管理体系认证机构的认证依据。
此次发布的版本与2013版的最大变化主要是针对附录 A (ISO/IEC 27002:2022对应的控制措施)的更新,这些变化体现了近些年来信息安全管理的变化趋势,主要变化见下:
1、附录A中列出的信息安全控制直接派生自 ISO/IEC 27002:2022第 5 章至 8 章中所列的控制并与之保持一致,并应与正文 6.1.3 结合使用。
2、新版ISO/IEC 27002:2022更新了信息安全控制集(包括指南),以反映企业和政府各个部门的发展和当前信息安全实践。相较2013版,新版标准简化(减少了21个控制措施)并增强了可用性。
针对ISO/IEC 27001:2022标准的正文部分,主要是条款细节的增补,以及语言描述的调整,包括:
1、前言中针对变化的描述;
2、在 4.2 中添加 c):这些要求中的哪些将通过信息安全管理体系得到解决;
3、在4.4中增加描述:组织应按照本文件的要求建立、实施、维护和持续改进信息安全管理体系,包括所需的过程及其相互作用;
4、在5.1中添加注释:本文档中提及的“业务”可以广义地解释为那些对组织存在的目的至关重要的活动;
5、明确了与新附录 A 保持一致;
6、6.2中增加 d)被监控;以及 g) 可作为文件化信息获得;
7、增加了新的 6.3变更计划:当组织确定需要对信息安全管理体系进行变更时,应以策划的方式进行变更;
8、7.4 沟通:从 2013 版中删除了 e);
9、8.1改写为:组织应策划、实施和控制满足要求所需的过程,并通过以下方式实施第 6 章确定的措施:
◆ 为过程建立标准;
◆ 按照准则实施过程控制。
--文件化信息应在必要的范围内可用,以确保过程已按计划进行。
--组织应控制计划的变更并评审非预期变更的后果,必要时采取措施减轻任何不利影响。
--组织应确保与信息安全管理体系相关的外部提供的过程、产品或服务受到控制。
10、内部审核:在第 9.2.1 和 9.2.2 小节中重新组织和拆分文本;
11、9.3 管理评审:增加了新的条款 9.3.2 c) 与信息安全管理体系相关的相关方需求和期望的变化,并在两个新的子章节 9.3.1 和 9.3.2 下重新组织了描述;
12、10.1 和 10.2 的编号调整等。
根据国际认可论坛(IAF)的工作安排,新旧版本转换时间为三年,我中心计划于2023年1月开始对依据ISO/IEC 27001:2022认证的客户实施初次或标准转换评审。获证企业需关注转换时间节点,及时做好换版工作。
如何准备ISO27001管理评审会议
准备ISO27001管理评审会议是一个系统性且细致的过程,旨在确保公司信息安全管理体系(ISMS)的持续适宜性、充分性和有效性。以下是准备ISO27001管理评审会议的具体步骤和要点:
一、明确管理评审的目的和范围
目的:管理评审的主要目的是评价公司信息安全管理体系的适宜性、充分性和有效性,确定是否需要改进以及资源的重新分配。
范围:明确评审将覆盖的信息安全管理体系的具体方面,包括信息安全方针、目标、控制措施、风险评估等。
二、编制管理评审计划
时间安排:确定管理评审的日期、时间和会议时长,确保所有参与者都能准时参加。
参加人员:确定参与管理评审的人员名单,通常包括总经理、管理者代表、各部门经理、内审员、信息安全管理小组成员等。
评审内容:列出管理评审将要讨论和评审的具体议题,如信息安全管理体系的运行情况、风险评估结果、预防措施和纠正措施的实施情况等。
三、收集评审输入资料
内部审核和外部审核结果:收集并整理最新的内部审核和外部审核报告,特别是与信息安全管理体系相关的审核发现和建议。
反馈和意见:收集员工、客户、供应商等相关方的反馈和意见,特别是他们对公司信息安全管理体系的满意度和改进建议。
信息安全绩效:汇总和分析信息安全绩效数据,如不符合项的数量、纠正措施的实施效果、信息安全目标的实现情况等。
风险评估结果:更新风险评估报告,包括新的威胁、脆弱性和风险点,以及已实施的风险控制措施的有效性。
四、编写管理评审报告
汇总评审输入:将收集到的评审输入资料进行汇总和整理,形成管理评审报告的初稿。
分析问题:对评审过程中发现的问题进行深入分析,找出问题的根源和可能的影响。
提出改进建议:针对发现的问题提出具体的改进建议和措施,明确责任人和完成时间。
五、召开管理评审会议
会议准备:确保会议所需的设备、资料等均已准备就绪,并通知所有参与者准时参加会议。
会议议程:明确会议议程和讨论顺序,确保会议能够有序进行。
会议讨论:由总经理或管理者代表主持会议,引导与会者就评审输入资料进行充分讨论和交流。
会议记录:安排专人记录会议内容,包括讨论的问题、提出的改进建议和措施等。
六、实施改进措施
责任分配:将改进措施分配给相关部门和责任人,明确完成时间和质量要求。
跟踪监督:建立跟踪监督机制,定期检查和评估改进措施的实施情况,确保问题得到有效解决。
七、总结和反馈
会议总结:在管理评审会议结束后进行总结,对评审结果进行概述,并强调后续改进措施的重要性。
反馈结果:将管理评审的结果和改进措施及时反馈给相关部门和人员,确保他们了解自己的工作重点和方向。
通过以上步骤的准备和实施,可以确保ISO27001管理评审会议的顺利进行和有效成果。这将有助于公司不断完善和优化信息安全管理体系,提高信息安全保障水平。
