点击上方蓝色字“Sky的安全观”关注我们
new!
new!
new!
>>更多精彩合集,敬请期待<<
在2025年10月25日之前,所有ISO/IEC 27001: 2013认证证书,都必须换版成ISO/IEC 27001: 2022认证证书。
以前我也说过很多次,很多人,特别是那些只关注ISO/IEC 27001附录A的那些人,面对ISO/IEC 27001新版标准是一脸懵逼,以为新版变化很大,换版会有很多工作量。这些人之所以会有这样的想法,是因为他们本身没对标准进行理解,只看表面的文字和结构。
由于以上的原因,很多人,这其中包括很多咨询顾问,面对新版标准的换版,根本讲不清楚要做哪些具体的工作,可能还是拿着以前的那套资料继续进行忽悠,毕竟这种事情之前就是这样做的(很多资料还是ISO/IEC 27001: 2005版的)。
ISO/IEC 27001: 2022新版标准整个框架是没有变化的(虽然附录A的结构变化很大,但是主要内容变化不多),这就决定了,换版工作不会有太多的工作量,而仅仅是局部的微调,包括体系文件和运行记录的微调。
要确定换版工作的内容,我们首先需要确定ISO/IEC 27001: 2022新版标准变化比较大的条款,这些条款会直接影响到企业的实施,而对于哪些轻微变化的条款,不会影响到企业信息安全管理体系实施的,则在换版过程中不需要关注。
ISO/IEC 27001: 2022变化较大的条款(会影响实施的) | ||
序号 | 条款 | 变化描述 |
确定了以上变化较大的条款后,接下来,我们便是要确定换版的应对对策。
ISO/IEC 27001: 2022变化较大的条款换版应对对策 | ||
序号 | 条款 | 换版应对对策 |
在换版过程中,除了要有以上的应对策略外,由于新版附录A的结构,相较于旧版,全部被打乱了,所以与附录A有关的相关记录,如适用性声明(SOA),内审检查表等,必须重新进行更新。
因为在信息安全风险评估中,会使用到适用性声明(SOA),所以如果风险评估的记录中涉及到了附录A的条款号,也必须对风险评估的记录进行更新。
以上的换版的应对策略,仅仅对一些原先旧版做的比较完善的企业有效,如果原来旧版就是捣糨糊,如像上篇文章写道的,不建议使用以上应对策略进行进行换版,建议重新寻找可靠的咨询进行全面的提升辅导(纯粹想拿证的企业除外)。
如果看完本篇文章,对于ISO/IEC 27001: 2022 换版还有疑惑的,可以选择以下附加服务:
服务类型 | 服务说明 | 服务费用 | 备注 |
服务一 | |||
服务二 | |||
服务三 |
另外本人正在寻找合作的咨询机构,有意向合作的咨询机构也可以联系我。
>>ISO标准过程和文件清单<<
new!
new!
>>更多精彩清单,敬请期待<<
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...