新版ISO 27001:2022轉版重點整理
新版ISO 27001:2022出爐
隨著國際資安標準ISO 27001:2022出爐,ISO 27001的改版動向屢屢受到關注,新版ISO 27001:2022已正式發布。
主要的變更,包含下列:
- 附錄 A 引用了ISO/IEC 27001:2022 中的資訊安全控制措施,其中包括控制措施標題和控制措施資訊
- 對 6.1.3 c) 條註釋進行了文字編輯修改,包括刪除控制目標,並用“資訊安全控制措施”代替“控制措施”
- 重新組織第 6.1.3
d) 條的措辭以消除潛在的歧義。
備註 1. 與舊版相比,ISO/IEC 27001:2022 附錄 A 有下列的改變:
- 資訊安全控制措施數量改變:資訊安全控制措施數量從 14 條的 114 項減少到 4 條的 93 項。對於 ISO/IEC 27001:2022 附錄 A 中的資訊安全控制措施,新增了 11 個控制措施,從現有控制措施中合併了 24 個控制措施,更新了 58 個控制措施。
- 附錄 A 中的資訊安全控制措施結構改變:為每個資訊安全控制措施引入了“屬性”和“目的”,不再為一組控制使用“目標”。
新版更加強於”技術面”資安管理
網路安全是一個需要不斷關注和適應不斷變化的威脅形勢。長達9年終於更新版的ISO/IEC 27001:2022 包括多項關鍵更新和改進,ISO/IEC 27001:2013從原先著重在管理面,新版將重點放在技術面,如威脅情資、雲端服務使用的資安、資通訊技術營運持續整備、實體安全監控、組態管理、資訊刪除、資料遮罩、資料外洩防護、活動檢視、網站過濾與安全程式碼撰寫等。
轉版期限
雖然有3年緩衝期轉版,但建議企業可提早佈局準備,強化技術面的資安措施。從而提高整個企業內部的資訊安全防範意識,減少人為操作失誤或故意破壞的可能性。
稽核人員轉版持續專業進修方式
新版ISO
27001:2022將控制措施集中於組織層與技術層,控制項目數量則有進一步的綜合整理歸納,並因應網路攻擊手法與樣態新增11項控制,同時提供屬性標籤能讓控制項目更容易使用。
ISO 27001:2022資訊安全管理系統核心概念與條文要點解析訓練課程
以上都能讓您進一步了解ISO/IEC
27001:2022資訊安全管理系統核心概念與條文要點,並對條文有進一步之認識,以精準解讀與掌握國際標準的要求。
特別需要ISO
27001 適用產業的行業或組織
- 銀行和金融機構:由於金融機構處理大量的敏感信息和資料,因此安全風險特別高。
- 醫療保健:醫療機構保存大量的醫療記錄和個人敏感信息,因此需要高度的資訊安全保護。
- 電子商務和線上支付:網上購物和在線支付平台的安全保護至關重要,以防止客戶的個人和財務信息被盜用。
- 航空航天和國防:這些行業涉及高度機密的技術和資訊,需要極高的安全保障。
- 電信業:電信公司擁有大量的客戶數據和通信記錄,需要確保其安全性。
總結,任何需要保護敏感信息和資料的行業或組織,都可以考慮實施 ISO 27001。
新版對組織可能的影響
ISO/IEC 27001:2022 變更的影響,僅限於引入新的附錄 A,因為:
1) ISO/IEC
27001:2013/COR 2:2015 已經發布並實施;
2) 附錄 A 是規範性的.
ISO/IEC 27001 使用附錄 A 資訊安全控制措施參考的要求,指的是將組織確定的
“資訊安全控制措施” 與 “附錄 A 中的資訊安全控制措施” 之間的比對過程
(6.1.3 c)),以及產生適用性聲明 (statment of applicability, SoA)
(6.1.3 d)) 。
通過將必要的資訊安全控制措施與附件 A 中的控制進行比對,組織可以確認所有附錄 A 中必要的資訊安全控制措施不會被疏忽、遺漏。比對過程中,如果發現無意中遺漏了必要的資訊安全控制措施,組織應更新其風險處理計劃 (risk treatment plan, RTPs),以適應額外的必要資訊安全控制措施,並實施它們。
如上所述,ISO/IEC
27001:2022 對已實施 ISMS 的組織的影響並不大。
新版對個人可能的影響
對於曾經參加過任何
ISO/IEC 27001:2013 訓練課程的專業人士,包含經理人、顧問、稽核員等,建議可以依照 CQI /
IRCA 對註冊稽核員知識與技術的專業持續進修 (continuing professional
development, CPD) 要求,保持每年至少 10 ~ 15 小時的進修時數,以維護 CQI / IRCA 稽核員註冊資格的有效性。
進修課程建議
由於此次管理系統標準內容的變動並未造成顯著的影響,所以針對 ISO/IEC 27001:2022 新版標準發布的認證課程標準中,
僅提供下列認證課程:
ISO 27001:2022主導稽核員轉版訓練課程
ISO/IEC 27001:2022 (ISMS, 資訊安全管理系統)稽核員/主導稽核員轉版訓練課程(16小時)
ISO 27001:2022資訊安全管理系統核心概念與條文要點解析訓練課程(16小時)
ISO 27001:2022資訊安全管理系統風險評鑑課程(16小時)
或者,您可以直接參加下列課程:
ISO 27001:2022資訊安全管理系統主導稽核員訓練課程(40小時)
0 意見:
張貼留言