ISO IEC 27001-2022 《信息安全网络安全和隐私保护 信息安全管理系统 要求》
Posted std7879
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了ISO IEC 27001-2022 《信息安全网络安全和隐私保护 信息安全管理系统 要求》相关的知识,希望对你有一定的参考价值。
ISO/IEC 27001:2022主要变化内容
1. 附录A引用了ISO/IEC 27002:2022中描述的信息安全控制,其中包括控制标题和控制的信息
2. 第6.1.3 c)条款经过修改编辑,包括删除控制目标和使用“信息安全控制”代替“控制”
3. 重新编辑了第6.1.3 d)条款中的措辞,以消除存在的潜在歧义
4. 通过增加新条款4.2 c)来决定经过ISMS处理的相关方的要求
5. 通过新增子条款6.3-变更的策划,定义了针对ISMS的变更应由组织以计划的方式进行
6. 保持与书面文本相关动词的一致性,例如,在第9.1、9.2.2、9.3.3和10.2条款中使用“书面信息应作为XXX的证据”
7. 使用“外部提供的过程、产品和服务”以取代第8.1条款中的“外包过程”,并删除“外包”一词
8. 重新命名和重新排序9.2条款-内部审核和9.3条款-管理评审的子条款
9. 对第10条款-改进的两个子条款交换顺序
10. 参考书目中列出的相关文件进行版本更新,例如ISO/IEC 27002和ISO 31000
11. 与 ISO/IEC 27001:2013 的6.2 d)条款中的高层结构、相同的核心文本、通用术语和核心定义有一些偏差
ISO/IEC 27001:2022 过渡时间线
2022 年 10 月开始为期 3 年的过渡期(至 2025 年 10 月)
2022年10月发布 ISO/IEC 27001:2022
2022.10-2023.10
新的和现有的认证仍然可以根据ISO/IEC 27001:2013评估
2023.10.24
2023年10月24日之后,将不再对 ISO/IEC 27001:2013进行初始与再认证审核
2025.10.25
所有 ISO/IEC 27001:2013认证都必须失效,或者撤回时间不得晚于2025年10月25日
云服务信息安全管理体系
ISO/IEC 27017标准与ISO/IEC 27001系列标准配合使用,为云服务提供商和云服务客户提供加强控制。与许多其他技术相关标准不同的是,ISO/IEC 27017标准阐明了双方在帮助确保云服务如同认证信息管理系统中所包含的其他数据那般安全可靠方面所扮演的角色和所承担的责任。
ISO/IEC 27017标准不仅提供了ISO/IEC 27002标准中37个控制基于云端的指导方针,而且还介绍了7个全新云控制以解决以下问题:
? 负责云服务提供商和云客户之间关系的人是谁
? 当合同终止时,资产的移除/归还
? 客户虚拟环境的保护和分离
? 虚拟机配置
? 与云环境相关的管理操作和程序
? 云客户监控云中活动
? 虚拟和云网络环境的对接
认证条件:
1、中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等有效文件;外国企业持有关机构的登记注册证明。
2、申请方的云服务信息安全管理体系已按ISO/IEC 27017:2015标准的要求建立,并实施运行3个月以上。
3、至少完成一次内部审核,并进行了管理评审。
4、云服务信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
以上是关于ISO IEC 27001-2022 《信息安全网络安全和隐私保护 信息安全管理系统 要求》的主要内容,如果未能解决你的问题,请参考以下文章