40週年專區 訂閱專區 菁英招募

繁體中文

請選擇語系

關於我們
服務範圍
新聞中心
技術專欄
服務據點
聯絡我們
technical column
首頁 > 技術專欄 > 標準解讀 > 詳細頁
深入產業脈動

技術專欄

標準解讀

ISO 27001:2022與ISO 27001: 2013差異說明

2023.10.05

   國際標準組織(ISO)在2022年10月26日正式公告發行第三版ISO/IEC 27001,由於發行年度為2022年,標準編號正式定為ISO/IEC 27001:2022。標準名稱由ISO/IEC 27001:2013之Information technology - Security techniques -Information security management systems- Requirements(資訊技術─安全技術 資訊安全管理系統- 要求事項)調整為Information security, cybersecurity and privacy protection - Information security management systems Requirements(資訊安全─網宇安全及隱私保護─資訊安全管理系統─要求事項)。

   新版標準在涵蓋廣度將增加資訊安全、網路安全與隱私的保護,以更符合現代的資安管理需求。

    ISO/IEC 27001:2022全文,除部分條款有額外要求新增、用語調整、備考(Note)說明調整、架構變更及條款編號互換外,僅新增全新子條款1項。在此僅列出新增之子條款:

  • 6.3 Planning of changes變更規劃
    ※ 6.3 當組織決定需要對資訊安全管理系統變更時,應以規劃之方式執行變更。


   ISO/IEC 27001改版後已將原先附錄A的控制措施重新彙整,數量由114個減少到93個,並將14個大類(categories)的控制措施其「目標」全部刪除。改為四大控制主題(Theme)、93項控制措施。與原先ISO/IEC 27001:2013比較,其中新增11個控制措施、更新58個控制措施(淘汰過時技術,反映最新的最佳實務),並整併24個控制措施(將不可分割或密切相關的既有控制措施加以合併)。四大控制主題如下:

  • 組織控制措施(第5節)(共37項控制措施,34項既有,3項新增)。
  • 人員控制措施(第6節)(共8項控制措施,皆為既有措施)。
  • 實體控制措施(第7節)(共14項控制措施,13項既有,1項新增)。
  • 技術控制措施(第8節)(共34項控制措施,27項既有,7項新增)。


   ISO/IEC 27001:2022新增的11個全新的控制措施主要是為了應對當前網路攻擊手法與型態。確保各企業能防範及強化自身資安控管。其控制措施如下:

  • A.5.7 威脅情資Threat Intelligence
    ※控制措施
    宜蒐集並分析與資訊安全威脅相關之資訊,已產生威脅情資。
  • A.5.23 使用雲端服務之資訊安全Information Security For use of Cloud Services
    ※控制措施
    宜依組織之資訊安全要求事項,建立獲取、使用、管理及退出雲端服務的過程。
  • A . 5 . 3 0 營運持續之ICT 備妥性ICT Readiness For Business Continuity
    ※管制措施
    宜依營運持續目標及ICT持續之要求事項,規劃、實作、維護及測試ICT備妥性。
  • A.7.4 實體安全監視Physical Security Monitoring
    ※控制措施
    宜持續監視場所,防止未經授權之實體進出。
  • A.8.9 組態管理Configuration Management
    ※控制措施宜建立、書面記錄、實作、監視並審查硬體、軟體、服務及網路之組態(包括安全組態)。
  • A.8.10 資訊刪除Information Deletion
    ※控制措施
    當於資訊系統、裝置或所有其他儲存媒體中之資訊不再屬必要時,宜刪除之。
  • A.8.11 資料遮蔽Date Masking
    ※控制措施
    宜使用資料遮蔽,依組織關於存取控制之主題特定政策及其他相關的主題特定政策,以及營運要求事項,並將適用法 令納入考量。
  • A.8.12 資料洩露預防Data Leakage Prevention
    ※控制措施
    宜將資料洩漏預防措施,套用至處理、儲存或傳輸敏感性資訊之系統、網路及所有其他裝置。
  • A.8.16 監視活動Monitoring Activities
    ※控制措施
    宜監視網路、系統及應用之異常行為,並採取適切措施,以評估潛在資訊安全事故。
  • A.8.23 網頁過濾Web Filtering
    ※控制措施
    宜管理對外不網站之存取,以降低暴露於惡意內容。
  • A.8.28 安全程式設計Secure Coding
    ※控制措施
    軟體開發宜施行安全程式設計原則。


   各企業如已經符合ISO 27001,不需要改變技術,只需通過將必要的資訊安全控制措施與附錄A中的控制進行比對,進行差異化分析、並調整現行的風險評估、風險處理計畫和適用性聲明。

   在比對過程中,組織也可以確認所有附錄A中必要的資訊安全控制措施不會被疏忽、遺漏,如果發現無意中遺漏了必要的資訊安全控制措施,組織應更新其風險處理計畫(Risk Treatment Plan, RTPs),以適應額外的必要資訊安全措施,並實施它們。





服務窗口:
陳小姐
03-3280026分機724
email:yolanda@etc.org.tw

回列表