ISO 27001:2022 vs 2013:有何变化?

过渡到新标准的组织的完整对比指南

首页 博客 实施指南

📋 变化概述

ISO/IEC 27001:2022于2022年10月发布,取代了2013版本。 获得ISO 27001:2013认证的组织必须在2025年10月之前过渡到新标准。了解这些变化对于规划过渡战略至关重要。

主要变化摘要

  • 93项控制措施(从114项减少): 为了清晰和减少重复而整合
  • 4个主题(vs 14个域): 组织、人员、物理、技术
  • 10项新控制措施: 涵盖威胁情报、云安全、ICT就绪
  • 24项控制措施合并: 组合重叠要求
  • 58项控制措施更新: 明确语言和要求

🏗️ 新的控制措施结构

从14个域到4个主题

ISO 27001:2013将控制措施组织成14个域。2022版本将其简化为4个主题:

2022结构(4个主题)

  • 组织控制措施(37): 政策、角色、资产管理、人力资源安全、供应商管理
  • 人员控制措施(8): 筛选、雇佣条款、意识和培训
  • 物理控制措施(14): 安全区域、设备安全、公用设施、处置
  • 技术控制措施(34): 认证、加密、网络安全、日志记录

基于属性的分类

2022版本为每个控制措施添加了属性:

  • 控制措施类型: 预防性、检测性或纠正性
  • 信息安全属性: 机密性、完整性、可用性
  • 网络安全概念: 识别、保护、检测、响应、恢复
  • 运营能力: 治理、资产管理、保护等
  • 安全域: 治理与生态系统、保护、防御、韧性

✨ 2022的10项新控制措施

5.7 威胁情报

组织现在必须收集和分析与其信息安全相关的威胁情报。这使成熟组织已经非正式执行的操作正式化。

实施: 订阅威胁源、监控安全公告、跟踪影响技术栈的漏洞。

5.23 云服务的信息安全

对安全使用、获取和管理云服务的明确要求。解决云特定风险。

实施: 云提供商安全评估、责任共担模型文档、云配置审查。

5.30 业务连续性的ICT就绪

确保ICT系统准备好支持业务连续性要求。加强韧性重点。

实施: 测试灾难恢复程序、验证备份恢复、确保冗余。

8.9 配置管理

要求对安全相关系统进行文档化的配置管理。防止配置漂移。

实施: 基础设施即代码、配置基线、变更跟踪。

8.10 信息删除

确保在不再需要时安全删除信息。支持数据最小化。

实施: 数据保留政策、安全删除程序、验证流程。

8.11 数据掩码

要求在适当时对敏感数据进行掩码。支持隐私和测试需求。

实施: 测试数据匿名化、日志编辑、适当时的令牌化。

8.12 数据泄漏防护

解决防止数据外泄和未经授权的披露。

实施: DLP工具、出口过滤、USB限制、电子邮件控制。

8.16 监控活动

正式化监控用户和系统活动的要求。

实施: SIEM、日志聚合、用户行为分析。

8.23 Web过滤

要求进行Web过滤以防止访问恶意内容。

实施: DNS过滤、代理服务器、URL分类。

8.28 安全编码

对软件开发中的安全编码原则的明确要求。

实施: OWASP指南、代码审查、SAST/DAST、安全培训。

🔄 认证组织的过渡指南

过渡时间表

截止日期:2025年10月

  • 2022年10月: ISO 27001:2022发布
  • 2023年10月: 1年宽限期结束(新审核使用2022版本)
  • 2025年10月: 3年过渡期结束(所有证书必须符合2022版本)

过渡步骤

  1. 差距分析: 将当前控制措施与2022附录A进行比较
  2. 更新适用性声明: 将2013控制措施映射到2022等效项
  3. 实施新控制措施: 解决10项新要求
  4. 更新文档: 修订政策以引用2022标准
  5. 内部审核: 验证符合新要求
  6. 过渡审核: 认证机构评估2022合规性

常见过渡挑战

  • 云安全控制措施可能需要新的供应商评估
  • 威胁情报需要持续订阅/流程
  • 配置管理需要自动化
  • 数据泄漏防护可能需要新工具

💡 中国企业的实用建议

大多数组织已经拥有的

好消息:许多"新"控制措施正式化了现有的最佳实践:

  • 威胁情报 → 已经在监控CVE和安全新闻
  • 云安全 → 已经在使用具有一定安全性的AWS/Azure
  • 配置管理 → 基础设施即代码已经到位
  • 监控 → SIEM或日志聚合已经部署

需要工作的内容

通常需要新实施的控制措施:

  • 正式威胁情报流程(不仅仅是临时监控)
  • 文档化的云安全评估(不仅仅是使用云服务)
  • 数据泄漏防护(可能需要DLP工具)
  • 安全编码标准(正式化的SDLC安全)

成本影响

对于已获得2013认证的中国中小企业:

  • 内部工作: 差距分析、文档更新、实施需要40-80小时
  • 过渡审核: ¥30,000-¥75,000(通常与监督审核结合)
  • 新工具: 如果存在DLP或监控差距,需要¥15,000-¥45,000

需要过渡支持? 联系Hack23 获取针对中国企业的差距评估和过渡计划。

📚 资源