2023年10月25日，ISO/IEC 27001:2022《信息安全、网络安全和隐私保护-信息安全管理体系-要求》标准正式发布，该标准取代了现行ISO/IEC 27001:2013 | GB/T22080-2016《信息技术-安全技术-信息安全管理体系-要求》。ISO/IEC 27001:2022提供了更强大的信息安全控制，以帮助组织解决日益复杂的安全风险及应对全球网络安全挑战，提高数字信任确保业务连续性。

ISO/IEC 27001:2022为期3年的过渡期，现有获得ISO27001认证的单位需在2025年10月25日前完成标准的转版。为顺利过渡到新版本，已经通过ISO/IEC 27001:2013认证的组织需要引起重视，根据新的子条款和修改后的要求修订内部政策，并根据ISO/IEC 27001:2022附录A修订风险评估结果和风险处置计划。

本次升级主要是基于信息安全最佳实践的发展进行了技术性修订，以与管理体系标准的高阶结构及ISO/IEC 27002：2022《信息安全、网络安全-隐私保护 -安全管理体系-要求》保持一致。

1）主要增加了6.3变更计划，其他个别条款：如9.2内部审计、9.3管理评审等要求及注解进行了更加明确的编辑性调整，协调了与其他管理体系标准的高阶结构保持一致。

2）另外，对10.改进两个子条款的编号顺序（持续改进、不符合及纠正措施）进行了互换。

3）附录 A引用了ISO/IEC 27002:2022中描述的信息安全控制

附录信息安全控制逻辑进行了重新的调整，将原来14个控制域114项控制措施，结合国际公认的最佳实践进行了更新、删减、合并与新增，调整为组织、人员、物理和技术控制4个方向的93项控制。

4）其他变化

在两个版本中，4.1 理解组织及其背景、5.1 领导力和承诺、5.3 组织角色、职责和权力、6.1.3 信息安全风险处理存在细微变化。

• 名称变化：标准由原来的“信息技术-安全技术”扩展为“信息安全、网络安全和隐私保护”，与ISO/IEC 27002:2022保持一致，与当前的信息安全发展趋势更为匹配。
  

• 控制域浓缩：本标准结构将从第二版的14个合并为组织、人员、物理和技术4个方向。

• 控制措施变更：控制措施从114项减少到93项，删除了某些控制项，推出了11项新的控制项，合并了24项控制项，更新了58项控制项。

ISO/IEC 27001:2022升级与版本转换问题

由于信息安全管理体系的方式与思维没有发生变化，基于过程方法、PDCA循环与风险思维的路径仍然有效，现有组织如果升级信息安全管理体系时，管理体系文件方面变化不大，可以继续使用，但应强化跟进信息安全技术的新发展，以SOA为线索，实现标准的升级转换。

在现有完整的一整套管理体系下（包括但不限于方针、策略、规则、流程、程序、架构、软件硬件等），应当基于改进的原则，从主要业务流程切入，从信息自身从创建产生到处置灭失全生命周期、信息系统及其他资产的构思确定设计到维护退出的全生命周期两个维度进行分析，对现有适用性声明进行重新的评估，根据组织相关方、法律法规及其他要求，以分级的理念，结合附录要求及ISO/IEC27002:2022标准提供的控制参考，进行信息安全控制的重新识别、规定、实施、保持与改进。

1、目前最常用的信息安全风险评估从哪几个方面做？
信息安全风险评估在最新ISO/IEC 27001:2022标准中没有太大的变化，但在ISO/IEC 27005:2018标准中讲了风险评估的一个方法论，更强调的是从业务的角度识别业务风险及识别威胁漏洞，根据发生的可能性从量化、定量、定性算出风险的大小，然后按照企业的风险偏好，采取相应的风险控制措施。

2、不在SOA里面的也可以自己增加控制项吗？
当然可以。组织从标准里面去选取适用的控制项，按照实际去补充新的控制项，实施信息安全管理控制。

3、正准备做ISO/IEC 27001:2013的认证，建议做哪些版本合适？
目前正准备进行认证的企业，建议可以先使用新版ISO/IEC 27001:2022做一个差距评估分析，根据差距的程度评估，选择适合的版本进行认证。评估差距不大，可直接申请新版的认证，过程中会涉及到执行的差距不大，但会涉及少量的更新工作，如在文件的准备上，需要按照新版本更新SOA控制项。若评估差距很大，可以给自己预留充足的时间窗（如1年的时间）再进行升版。