國際標準組織(ISO)在2022年10月26日正式公告發行第三版ISO/IEC 27001,由於發行年度為2022年,標準編號正式定為ISO/IEC 27001:2022。標準名稱由ISO/IEC 27001:2013之Information technology - Security techniques -Information security management systems- Requirements(資訊技術─安全技術 資訊安全管理系統- 要求事項)調整為Information security, cybersecurity and privacy protection - Information security management systems Requirements(資訊安全─網宇安全及隱私保護─資訊安全管理系統─要求事項)。
新版標準在涵蓋廣度將增加資訊安全、網路安全與隱私的保護,以更符合現代的資安管理需求。
ISO/IEC 27001:2022全文,除部分條款有額外要求新增、用語調整、備考(Note)說明調整、架構變更及條款編號互換外,僅新增全新子條款1項。在此僅列出新增之子條款:
ISO/IEC 27001改版後已將原先附錄A的控制措施重新彙整,數量由114個減少到93個,並將14個大類(categories)的控制措施其「目標」全部刪除。改為四大控制主題(Theme)、93項控制措施。與原先ISO/IEC 27001:2013比較,其中新增11個控制措施、更新58個控制措施(淘汰過時技術,反映最新的最佳實務),並整併24個控制措施(將不可分割或密切相關的既有控制措施加以合併)。四大控制主題如下:
ISO/IEC 27001:2022新增的11個全新的控制措施主要是為了應對當前網路攻擊手法與型態。確保各企業能防範及強化自身資安控管。其控制措施如下:
各企業如已經符合ISO 27001,不需要改變技術,只需通過將必要的資訊安全控制措施與附錄A中的控制進行比對,進行差異化分析、並調整現行的風險評估、風險處理計畫和適用性聲明。
在比對過程中,組織也可以確認所有附錄A中必要的資訊安全控制措施不會被疏忽、遺漏,如果發現無意中遺漏了必要的資訊安全控制措施,組織應更新其風險處理計畫(Risk Treatment Plan, RTPs),以適應額外的必要資訊安全措施,並實施它們。
服務窗口:
陳小姐
03-3280026分機724
email:yolanda@etc.org.tw