ISO/IEC 27001: 2022 换版不求人秘笈

点击上方蓝色字“Sky的安全观”关注我们

>>ISO系列标准解读合集<<

new!

>>更多精彩合集，敬请期待<<

在2025年10月25日之前，所有ISO/IEC 27001: 2013认证证书，都必须换版成ISO/IEC 27001: 2022认证证书。

以前我也说过很多次，很多人，特别是那些只关注ISO/IEC 27001附录A的那些人，面对ISO/IEC 27001新版标准是一脸懵逼，以为新版变化很大，换版会有很多工作量。这些人之所以会有这样的想法，是因为他们本身没对标准进行理解，只看表面的文字和结构。

由于以上的原因，很多人，这其中包括很多咨询顾问，面对新版标准的换版，根本讲不清楚要做哪些具体的工作，可能还是拿着以前的那套资料继续进行忽悠，毕竟这种事情之前就是这样做的（很多资料还是ISO/IEC 27001: 2005版的）。

ISO/IEC 27001: 2022新版标准整个框架是没有变化的（虽然附录A的结构变化很大，但是主要内容变化不多），这就决定了，换版工作不会有太多的工作量，而仅仅是局部的微调，包括体系文件和运行记录的微调。

要确定换版工作的内容，我们首先需要确定ISO/IEC 27001: 2022新版标准变化比较大的条款，这些条款会直接影响到企业的实施，而对于哪些轻微变化的条款，不会影响到企业信息安全管理体系实施的，则在换版过程中不需要关注。

ISO/IEC 27001: 2022变化较大的条款（会影响实施的）
序号	条款	变化描述
1	6.3 变更的策划	新增条款
2	9.3 管理评审	增加了c)
3	10.1持续改进	10.1和10.2位置对调
4	10.2 不符合及纠正措施	10.1和10.2位置对调
5	A.5.7 威胁情报	新增的控制项
6	5.23 使用云服务的信息安全	新增的控制项
7	A.5.30 信息与通信技术（ICT）的业务连续性准备	新增的控制项
8	A.7.4 物理安全监视	新增的控制项
9	A.8.9 配置管理	新增的控制项
10	A.8.10 信息删除	新增的控制项
11	A.8.11 数据脱敏	新增的控制项
12	A.8.12 数据泄露防护	新增的控制项
13	A.8.16 监视活动	新增的控制项
14	A.8.23 网页过滤	新增的控制项
15	A.8.28 安全编码	新增的控制项

确定了以上变化较大的条款后，接下来，我们便是要确定换版的应对对策。

ISO/IEC 27001: 2022变化较大的条款换版应对对策
序号	条款	换版应对对策
1	6.3 变更的策划	新增《信息安全变更管理程序》，若原来有相应的文件，只要在文件增加信息安全管理体系变更（如文件、职责和权限、流程等）的流程即可，然后按照文件输出相应的记录。
2	9.3 管理评审	修改《管理评审管理程序》，在输入内容中增加 9.3 c）要求的内容，同时更新相关记录，如管理评审计划，管理评审报告等
3	10.1持续改进	旧版10.1是不符合及纠正措施，需要更新信息安全管理手册，内审检查表中的条款号
4	10.2 不符合及纠正措施	旧版10.2是持续改进，需要更新信息安全管理手册，内审检查表中的条款号
5	A.5.7 威胁情报	新增《威胁情报管理程序》，并输出相应的记录，如威胁情报分析报告，威胁情报涉及的资产整改记录等
6	5.23 使用云服务的信息安全	在《采购和供应链管理程序》中，增加云服务这类特殊供应商的管理要求，并输出相应的记录
7	A.5.30 信息与通信技术（ICT）的业务连续性准备	在《业务连续性安全管理程序》中增加ICT连续性准备要求，如机房火灾、机房断电，服务器硬件故障，服务器系统故障等应急方案的制定，演练要求等
8	A.7.4 物理安全监视	在《物理和环境安全管理程序》中，增加对物理区域的安全监视要求
9	A.8.9 配置管理	新增《配置安全管理规范》，明确配置安全管理的类型，流程等要求，并输出相应的记录
10	A.8.10 信息删除	在《数据安全管理规范》中，增加信息删除要求
11	A.8.11 数据脱敏	在《数据安全管理规范》中，增加数据脱敏要求
12	A.8.12 数据泄露防护	在《数据安全管理规范》中，增加数据防泄漏要求
13	A.8.16 监视活动	在《基础设施使用和运维安全管理程序》中，增加监视活动要求
14	A.8.23 网页过滤	在《网络安全管理程序》中，增加网页过滤要求，并输出过滤网页清单等记录
15	A.8.28 安全编码	在《软件开发安全管理程序》中，增加安全编码要求，并输出各类编码语言的安全编码规范，代码检测记录等

在换版过程中，除了要有以上的应对策略外，由于新版附录A的结构，相较于旧版，全部被打乱了，所以与附录A有关的相关记录，如适用性声明（SOA），内审检查表等，必须重新进行更新。

因为在信息安全风险评估中，会使用到适用性声明（SOA），所以如果风险评估的记录中涉及到了附录A的条款号，也必须对风险评估的记录进行更新。

以上的换版的应对策略，仅仅对一些原先旧版做的比较完善的企业有效，如果原来旧版就是捣糨糊，如像上篇文章写道的，不建议使用以上应对策略进行进行换版，建议重新寻找可靠的咨询进行全面的提升辅导（纯粹想拿证的企业除外）。

如果看完本篇文章，对于ISO/IEC 27001: 2022 换版还有疑惑的，可以选择以下附加服务：

服务类型	服务说明	服务费用	备注
服务一	提供本篇文章换版应对策略涉及的文件：《信息安全变更管理程序》《威胁情报管理程序》《物理和环境安全管理程序》《配置安全管理规范》《数据安全管理规范》《基础设施使用和运维安全管理程序》《网络安全管理程序》《软件开发安全管理程序》	68元	提供Word文档，可以在线解答相应的疑惑
服务二	按照本篇文章中的应对对策，现场指导换版工作（1人天）	2000元+交通费	只接受个人劳务合作模式支付费用，对公的话费用会增加很多
服务三	旧版没有做好，进行全面提升	面议	可以以个人劳务合作模式，或者另找咨询机构进行合作，但服务内容和服务质量是不变的