作(zuo)(zuo)為(wei)(wei)國際上(shang)具(ju)有代表性的信息安全管(guan)理體系標準,ISO/IEC 27001隨著信息安全管(g�������uan)理的變化趨勢應境而變,為(wei)(wei)使(shi)ISO/IEC 27001的附錄(lu)A與ISO/IEC 27002:2022一致,新(xin)(xin)版標準ISO/IEC 27001:2022預計(ji)將(jiang)于(yu)2022年10月24日正式發布。新(xin)(xin)版標準發布在即,以下(xia)為(wei)(wei)大家關注的轉版熱(re)點問題,解答企業(ye)實際工作(zuo)(zuo)中的困惑。
Q:現在可以(yi)做ISO/IEC 27001:2022新版認(ren)證嗎?
A:目前可(ke)以按照(zhao)FDIS版(ban)本做差距分析,新版(ban)在本月(yue)(yue)底(10月(yu������e)(yue)24日)正式發布(bu)后才能(neng)進(jin)行ISO/IEC27001:2022新版(ban)認證,新版(ban)證書的發放取(qu)決于認可(ke)機構的認可(ke)進(jin)度。
Q:2024年(nian)年(nian)度評��������審(shen)能否按照舊(jiu)版(ban)進(jin)行審(shen)核?
A:還可以(yi)按照(zhao)舊版(ban)進行審核,但2025年9月證(zheng)書就失效了,建議可以(��������yi)準備按照(zhao)新的版(ban)本進行審核,不要拖到最后(hou)的時間。
Q:目前最常用的信息安(an)全風(feng)險評估從哪幾個(ge)方(fang)面做?
A:信息安全風(feng)險(xian)評(ping)(ping)估在(zai)最(zui)新ISO/IEC������� 27001:2022標準中沒有(you)太大(da)的(de)變化,但(dan)在(zai)ISO/�����IEC 27005:2018標準中講了風(feng)險(xian)評(ping)(ping)估的(de)一個方(fang)法論,更強調的(de)是從業務的(de)角度識別業務風(feng)險(xian)及識別威脅(xie)漏洞,根(gen)據(ju)發(fa)生的(de)可能性(xing)從量化、定量、定性(xing)算出風(feng)險(xian)的(de)大(da)小(xiao),然后按照企(qi)業的(de)風(feng)險(xian)偏好,采取相(xiang)應(ying)的(de)風(feng)險(xian)控制措施(shi)。
Q:不在SOA里面的(de)也可(ke)以自己增加控(kong)制項(xiang)嗎?
A:不在(zai)SOA里面(mian)的(de)控(kong)(kong)制(zhi)(zhi)(zhi)項(xiang),企業(ye)也可(ke)以(yi)繼續添加(jia),實(shi)施信(xin)息安(an)全管理控(kong)(kong)制(zhi)(zhi)(zhi)。因為標(biao)準(zhun)只是提(ti)供一個起點,企業(ye)可(ke)以(yi)從標(biao)準(zhun)里面(mian)去選取適用(yong)的(de)控(kong)(kong)制(zhi)(zhi)(zhi)項(xiang),按照實(shi)際去補充新的(de)控(kong)(kong)制(zhi)(zhi)(zhi)項(xiang)。在(zai)ISO/IEC 27000系(xi)列標(biao)準(zhun)中(zhong),提(ti)供了(le)其(qi)它的(de)標(biao)準(zhun)供企業(ye)選擇補充新版(ban)ISO/IEC 27001:2022標(biao)準(zhun)中(zhong)SOA的(de)控(kong)(kong)制(zhi)(zhi)(zhi)�����項(xiang)。例如:關于應用(yong)安(an)全ISO/IEC 27034:2011標(biao)準(zhun),可(ke)以(yi)在(zai)ISO/IEC 27001:2022中(zhong)追加(jia)ISO/IEC 27034:2011應用(yong)安(an)全的(de)控(kong)(kong)制(zhi)(zhi)(zhi)項(xiang),或增(zeng)加(jia)ISO/IEC 27040:2015存儲(chu)安(an)全的(de)控(kong)(kong)制(zhi)(zhi)(zhi)項(xiang)。
Q:正(zheng)準備做ISO/IEC 27001:2013的認(ren)證,建議�������做哪(na)些�������版本合適?
A:目前正準備進(jin)(jin)行認證(zheng)的(de)企業(ye),建(jian)議(yi)可(ke)以先使用新版ISO/IEC 27001:2022做(zuo)一(yi)個差距評(ping)估(gu)(gu)(gu)分(fen)析,根據差距的(de)程度評(ping)估(gu)(gu)(gu),選擇(ze)適合的(de)版本進(jin)(jin)行認證(zheng)。評(ping)估(gu)(gu)(gu)差距不大(da),可(ke)直(zhi)接(jie)申請新版本的(de)認證(zheng),過程中會(hui)涉(she)及(ji)到執行的(de)差距不大(da),但會(hui)涉(she)及(ji)少(shao)量的(de)更新工作,如在文(wen)件的(de)準備上,需要(yao)按(an)照新版本更新SOA控制項。評(ping)估(gu)(gu)(gu)差距很大(da),可(ke)以給自(zi)己預留充足(zu)的(de)時間窗(如1年的(de)������時間)再進(jin)(jin)行升版。
信(xin)息來源 BSI英(ying)標聲明:本文所(suo)用視頻、圖片、文字部分來源于互聯網,版權屬原作(zuo)者(zhe)所(suo)有(you)。如(ru)涉及(ji)到版權問題,請及(ji)�����時和我(wo)們聯系(xi),核(he)實后協商處(chu)理或刪除。
搜索
客戶案例
