Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 27001:2022 — 信息安全、网络安全和隐私保护 — ISMS要求
信息安全、网络安全和隐私保护 — 信息安全管理体系 — 要求
ISMS要求体系架构
ISO/IEC 27001:2022是最受认可的信息安全管理体系(ISMS)国际标准。它规定了在组织背景下建立、实施、维护和持续改进ISMS的要求。这第三版(2022年10月发布)取代了ISO/IEC 27001:2013,引入了重大的结构和内容变化,最显著的是将附录A安全控制措施从114项整合重组为93项,按4个主题而非14个领域进行组织。
ISO/IEC 27001采用计划-执行-检查-改进(PDCA)循环,并遵循所有现代ISO管理体系标准通用的附件SL高层结构(第1-10章)。这种结构使其能够轻松与ISO 9001、ISO 14001和ISO 22301等其他管理体系整合。
标准的要求分为十个条款。第1-3条提供背景信息(范围、规范性引用文件、术语和定义)。第4条(组织背景)要求组织确定与其宗旨相关的外部与内部事项,理解利益相关方的需求和期望,并界定ISMS的范围。第5条(领导作用)要求最高管理层参与,建立信息安全方针并分配角色和职责。第6条(策划)涉及风险评估和处置计划。第7条(支持)涵盖资源、能力、意识、沟通和文件化信息。第8条(运行)涉及运行策划和控制,包括风险评估和处置执行。第9条(绩效评价)要求监控、测量、分析、评价、内部审核和管理评审。第10条(改进)涉及不符合项、纠正措施和持续改进。
| 条款 | 主题 | 关键要求 |
|---|---|---|
| 4 | 组织背景 | 确定外部/内部事项、利益相关方、ISMS范围、ISMS过程 |
| 5 | 领导作用 | 最高管理层承诺、方针、角色和职责 |
| 6 | 策划 | 风险评估方法、风险处置计划、安全目标 |
| 7 | 支持 | 资源、能力、意识、沟通、文件化信息 |
| 8 | 运行 | 运行策划、风险评估执行、风险处置执行 |
| 9 | 绩效评价 | 监控、测量、分析、内部审核、管理评审 |
| 10 | 改进 | 不符合项处理、纠正措施、持续改进 |
ISO/IEC 27001实施中的一个常见陷阱是将第4条(组织背景)视为打勾练习。理解组织的独特背景——包括商业模式、监管环境、威胁环境和利益相关方期望——对于设计相关且有效的ISMS至关重要。基于模板的通用方法会产生通用的ISMS,可能无法解决你的特定风险。
附录A控制措施——2022年更新
2022版中最显著的变化是附录A控制措施的重组。之前的14个领域和114项控制措施已被整合为4个主题和93项控制措施。四个主题是:组织控制措施(37项)、人员控制措施(8项)、物理控制措施(14项)和技术控制措施(34项)。这种简化反映了更现代、更实用的信息安全方法,从孤立的领域思维转向更集成的主题结构,更好地反映了组织实际实施安全的方式。
| 主题 | 控制措施数量 | 2022版新增关键内容 |
|---|---|---|
| 组织控制 | 37 | 威胁情报、云服务信息安全、ICT业务连续性准备、物理安全监控 |
| 人员控制 | 8 | 远程工作、信息安全意识和培训(整合增强) |
| 物理控制 | 14 | 物理安全监控、设备安全处置或再利用(增强) |
| 技术控制 | 34 | 信息删除、数据掩码、数据泄露防护、监控活动、网页过滤、安全编码 |
2022版引入了11项新控制措施,应对当代安全挑战:威胁情报、云服务信息安全、ICT业务连续性准备、物理安全监控、配置管理、信息删除、数据掩码、数据泄露防护、监控活动、网页过滤和安全编码。这些新增反映了不断演变的威胁环境和技术形势。
2022版还引入了”控制属性”概念——一个分类系统,为每项控制措施标注属性,如控制类型(预防性、检测性、纠正性)、信息安全特性(机密性、完整性、可用性)、网络安全概念(识别、保护、检测、响应、恢复)、运营能力(治理、资产管理等)和安全领域(治理与生态系统、保护、防御、韧性)。这一属性系统使组织能够在不变更底层控制定义的情况下,从不同角度筛选、选择和报告控制措施。
已获得ISO/IEC 27001:2013认证的组织必须过渡到2022版以维持其认证资格。过渡期通常为自发布之日起3年。2013版和2022版附录A之间的差距分析需要仔细审查,特别是11项新控制措施,组织必须更新其适用性声明(SoA)、风险处置计划以及相关方针和程序以反映新结构。
实施ISO/IEC 27001:2022
成功实施ISO/IEC 27001:2022需要一种将安全融入组织文化和运营的结构化方法。推荐的方法始于获得最高管理层的承诺——没有可见的、持续的领导支持,ISMS实施将难以获得所需的资源和跨职能合作。正式的项目章程应定义实施的范围、目标、时间表、预算和治理结构。
风险评估过程是ISMS的知识核心。组织必须定义并应用一种风险评估方法,识别与信息资产的机密性、完整性和可用性相关的风险。该方法应考虑第6.1.2条中定义的风险准则,包括风险接受准则和执行风险评价的准则。该过程的输出是一个风险处置计划,规定了将从附录A(或其他来源)中采用哪些控制措施,将已识别的风险降低到可接受水平。
适用性声明(SoA)是关键文件,列出了附录A中的所有控制措施,说明每项控制措施是否适用,并证明包含和排除的理由。SoA必须经过管理层评审和批准,并作为外部认证审核的基础。它表明组织已系统性地考虑了所有相关控制措施,并基于风险评估结果做出了明智的决策。
一旦ISMS实施完成,组织必须建立一个内部审核、管理评审和纠正措施的循环。内部审核验证ISMS是否符合组织自身的要求和标准的要求。管理评审评估ISMS持续的适宜性、充分性和有效性。这两个过程都输入到持续改进循环中,确保ISMS不断发展以应对变化中的威胁、业务需求和组织背景。
常见问题
问1:ISO/IEC 27001:2013和ISO/IEC 27001:2022之间的主要区别是什么?
主要区别包括:(1) 附录A从14个领域重组为4个主题(组织、人员、物理、技术);(2) 控制措施从114项减少到93项;(3) 新增11项控制措施,涉及云服务、威胁情报、数据泄露防护、安全编码等当代主题;(4) 引入控制属性实现多角度分类;(5) 更新术语并符合最新附件SL框架;(6) 增强了对网络安全和隐私保护的关注(反映在修订后的标题中)。
主要区别包括:(1) 附录A从14个领域重组为4个主题(组织、人员、物理、技术);(2) 控制措施从114项减少到93项;(3) 新增11项控制措施,涉及云服务、威胁情报、数据泄露防护、安全编码等当代主题;(4) 引入控制属性实现多角度分类;(5) 更新术语并符合最新附件SL框架;(6) 增强了对网络安全和隐私保护的关注(反映在修订后的标题中)。
问2:组织是否可以在不实施全部93项控制措施的情况下获得ISO/IEC 27001认证?
可以。ISO/IEC 27001不要求实施附录A中的所有控制措施。组织必须根据其风险评估确定哪些控制措施适用,并在适用性声明(SoA)中记录理由。不适用控制措施必须明确证明其排除的合理性。认证审核验证所实施的控制措施对已识别风险是适当的,且排除是合理的。
可以。ISO/IEC 27001不要求实施附录A中的所有控制措施。组织必须根据其风险评估确定哪些控制措施适用,并在适用性声明(SoA)中记录理由。不适用控制措施必须明确证明其排除的合理性。认证审核验证所实施的控制措施对已识别风险是适当的,且排除是合理的。
问3:实施ISO/IEC 27001并获得认证通常需要多长时间?
时间线取决于组织规模、复杂性和现有安全成熟度。典型的实施时间线为6至18个月。具有良好定义流程和现有安全控制的小型组织可能在6-9个月内获得认证。拥有多个业务部门和遗留系统的大型复杂组织可能需要12-18个月。认证审核本身对于中小型组织通常需要3-5天,再认证审核每3年一次,监督审核每年一次。
时间线取决于组织规模、复杂性和现有安全成熟度。典型的实施时间线为6至18个月。具有良好定义流程和现有安全控制的小型组织可能在6-9个月内获得认证。拥有多个业务部门和遗留系统的大型复杂组织可能需要12-18个月。认证审核本身对于中小型组织通常需要3-5天,再认证审核每3年一次,监督审核每年一次。
问4:ISO/IEC 27001和ISO/IEC 27002之间的关系是什么?
ISO/IEC 27001规定了ISMS的强制性要求(”做什么”——包括从附录A中选择适用控制措施的要求)。ISO/IEC 27002为附录A中列出的控制措施提供实施指南(”怎么做”)。组织通常使用27001作为认证框架,使用27002作为实施特定安全控制的详细指南。这两个标准被设计为配套使用。
ISO/IEC 27001规定了ISMS的强制性要求(”做什么”——包括从附录A中选择适用控制措施的要求)。ISO/IEC 27002为附录A中列出的控制措施提供实施指南(”怎么做”)。组织通常使用27001作为认证框架,使用27002作为实施特定安全控制的详细指南。这两个标准被设计为配套使用。
