ISO/IEC 27001转版热点问题,这里都有!
作为国际上具有代表性的信息安全管理体系标准,ISO/IEC 27001随着信息安全管理的变化趋势应境而变,为使ISO/IEC 27001的附录A与ISO/IEC 27002:2022一致,新版标准ISO/IEC 27001:2022预计将于2022年10月24日正式发布。新版标准发布在即,以下为大家关注的转版热点问题,解答企业实际工作中的困惑。
Q:现在可以做ISO/IEC 27001:2022新版认证吗?
A:目前可以按照FDIS版本做差距分析,新版在本月底(10月24日)正式发布后才能进行ISO/IEC27001:2022新版认证,新版证书的发放取决于认可机构的认可进度。
Q:2024年年度评审能否按照旧版进行审核?
A:还可以按照旧版进行审核,但2025年9月证书就失效了,建议可以准备按照新的版本进行审核,不要拖到蕞后的时间。
Q:目前蕞常用的信息安全风险评估从哪几个方面做?
A:信息安全风险评估在蕞新ISO/IEC 27001:2022标准中没有太大的变化,但在ISO/IEC 27005:2018标准中讲了风险评估的一个方法论,更强调的是从业务的角度识别业务风险及识别威胁漏洞,根据发生的可能性从量化、定量、定性算出风险的大小,然后按照企业的风险偏好,采取相应的风险控制措施。
Q:不在SOA里面的也可以自己增加控制项吗?
A:不在SOA里面的控制项,企业也可以继续添加,实施信息安全管理控制。因为标准只是提供一个起点,企业可以从标准里面去选取适用的控制项,按照实际去补充新的控制项。在ISO/IEC 27000系列标准中,提供了其它的标准供企业选择补充新版ISO/IEC 27001:2022标准中SOA的控制项。例如:关于应用安全ISO/IEC 27034:2011标准,可以在ISO/IEC 27001:2022中追加ISO/IEC 27034:2011应用安全的控制项,或增加ISO/IEC 27040:2015存储安全的控制项。
Q:正准备做ISO/IEC 27001:2013的认证,建议做哪些版本合适?
A:目前正准备进行认证的企业,建议可以先使用新版ISO/IEC 27001:2022做一个差距评估分析,根据差距的程度评估,选择适合的版本进行认证。评估差距不大,可直接申请新版本的认证,过程中会涉及到执行的差距不大,但会涉及少量的更新工作,如在文件的准备上,需要按照新版本更新SOA控制项。评估差距很大,可以给自己预留充足的时间窗(如1年的时间)再进行升版。