作為國際上具有代表性的信息安全管理體系標(biāo)準(zhǔn),ISO/IEC 27001隨著信息安全管理的變化趨勢應(yīng)境而變,為使ISO/IEC 27001的附錄A與ISO/IEC 27002:2022一致,新版標(biāo)準(zhǔn)ISO/IEC 27001:2022預(yù)計(jì)將于2022年10月24日正式發(fā)布。新版標(biāo)準(zhǔn)發(fā)布在即,以下為大家關(guān)注的轉(zhuǎn)版熱點(diǎn)問題,解答企業(yè)實(shí)際工作中的困惑。
Q:現(xiàn)在可以做ISO/IEC 27001:2022新版認(rèn)證嗎?
A:目前可以按照FDIS版本做差距分析,新版在本月底(10月24日)正式發(fā)布后才能進(jìn)行ISO/IEC27001:2022新版認(rèn)證,新版證書的發(fā)放取決于認(rèn)可機(jī)構(gòu)的認(rèn)可進(jìn)度。
Q:2024年年度評審能否按照舊版進(jìn)行審核?
A:還可以按照舊版進(jìn)行審核,但2025年9月證書就失效了,建議可以準(zhǔn)備按照新的版本進(jìn)行審核,不要拖到最后的時(shí)間。
Q:目前最常用的信息安全風(fēng)險(xiǎn)評估從哪幾個(gè)方面做?
A:信息安全風(fēng)險(xiǎn)評估在最新ISO/IEC 27001:2022標(biāo)準(zhǔn)中沒有太大的變化,但在ISO/IEC 27005:2018標(biāo)準(zhǔn)中講了風(fēng)險(xiǎn)評估的一個(gè)方法論,更強(qiáng)調(diào)的是從業(yè)務(wù)的角度識別業(yè)務(wù)風(fēng)險(xiǎn)及識別威脅漏洞,根據(jù)發(fā)生的可能性從量化、定量、定性算出風(fēng)險(xiǎn)的大小,然后按照企業(yè)的風(fēng)險(xiǎn)偏好,采取相應(yīng)的風(fēng)險(xiǎn)控制措施。
Q:不在SOA里面的也可以自己增加控制項(xiàng)嗎?
A:不在SOA里面的控制項(xiàng),企業(yè)也可以繼續(xù)添加,實(shí)施信息安全管理控制。因?yàn)闃?biāo)準(zhǔn)只是提供一個(gè)起點(diǎn),企業(yè)可以從標(biāo)準(zhǔn)里面去選取適用的控制項(xiàng),按照實(shí)際去補(bǔ)充新的控制項(xiàng)。在ISO/IEC 27000系列標(biāo)準(zhǔn)中,提供了其它的標(biāo)準(zhǔn)供企業(yè)選擇補(bǔ)充新版ISO/IEC 27001:2022標(biāo)準(zhǔn)中SOA的控制項(xiàng)。例如:關(guān)于應(yīng)用安全I(xiàn)SO/IEC 27034:2011標(biāo)準(zhǔn),可以在ISO/IEC 27001:2022中追加ISO/IEC 27034:2011應(yīng)用安全的控制項(xiàng),或增加ISO/IEC 27040:2015存儲安全的控制項(xiàng)。
Q:正準(zhǔn)備做ISO/IEC 27001:2013的認(rèn)證,建議做哪些版本合適?
A:目前正準(zhǔn)備進(jìn)行認(rèn)證的企業(yè),建議可以先使用新版ISO/IEC 27001:2022做一個(gè)差距評估分析,根據(jù)差距的程度評估,選擇適合的版本進(jìn)行認(rèn)證。評估差距不大,可直接申請新版本的認(rèn)證,過程中會涉及到執(zhí)行的差距不大,但會涉及少量的更新工作,如在文件的準(zhǔn)備上,需要按照新版本更新SOA控制項(xiàng)。評估差距很大,可以給自己預(yù)留充足的時(shí)間窗(如1年的時(shí)間)再進(jìn)行升版。