10月25日，第三版ISO/IEC 27001∶2022信息安全管理體系標準正式發(fā)布，取消和替代了第二版ISO/IEC 27001∶2013，即現行的GB/T 22080-2016“信息技術 安全技術 信息安全管理體系 要求”，現有獲得ISO 27001認證的組織將在3年內完成標準的轉版。

ISO/IEC 27001∶2022主要變化點

·ISO/IEC 27001∶2022標題改為“信息安全、網絡安全和隱私保護-信息安全管理體系-要求”，與ISO/IEC 27002∶2022的標題“信息安全、網絡安全和隱私保護-信息安全控制”一致。

·所列的控制項從114項減少到93項。

·在ISO/IEC 27001∶2022中引入了新的子條款，如“6.3 變化的規(guī)劃”“9.2.1 總則”“9.2.2 內部審核方案”“9.3.1 總則”“9.3.2 管理評審輸入”“9.3.3 管理評審結果”。新的子條款的引入進一步協(xié)調了與其他管理體系標準的文件結構，如ISO 9001∶2015、ISO 22301∶2019。

·在ISO/IEC 27001∶2022中引入了新的文本，并重新安排了一些文本，但它們只是澄清了要求，并沒有給標準增加新的要求。

·刪除了某些控制項。

·推出了11項新的控制項。

·合并了24項控制項。

·更新了58項控制項。

·引入了屬性的概念。

·ISO/IEC 27001∶2022附錄A的標題改為“信息安全控制措施參考”，并且新增、刪除以及合并了一些安全控制措施，附錄A被修訂為與ISO/IEC 27002∶2022中的信息安全控制保持一致。然而，與2013年版本的情況一樣，只有控制的描述來自于ISO/IEC 27002∶ 2022。ISO/IEC 27002∶2022中的其他元素，如控制的目的和屬性，并沒有包括在ISO/IEC 27001∶2022附錄A中。變更內容包含網絡安全和隱私方面，更新了控制語言并添加了額外指導。變更內容有助于公司管理風險，確保沒有遺漏并及時跟進。

轉版注意事項

ISO/IEC 27001∶2022轉版時間為3年，現有證書需要在2025年11月前轉版到新版本。

為順利過渡到新版本，已經通過ISO/IEC 27001∶2013認證的組織需要引起重視，根據新的子條款和修改后的要求修訂內部政策，并根據ISO/IEC 27001∶2022附錄A修訂風險評估結果和風險處置計劃。ISO/IEC 27001的2024年度評審，還可以按照舊版進行審核，但是2025年9月證書就會失效，建議各組織可以準備按照新版ISO/IEC 27001∶2022進行審核。