時隔9年，ISO 27001迎向改版的進程

在2021年底，資訊安全管理系統ISO 27001傳出改版的消息， ISO 27002:2022已於 2022 年2 月 15 日發布，ISO 27001:2022 也即將發布。本文以Q&A的方式說明ISO 27001與ISO 27002 兩個標準在2022年版中的改變以及如何因應。

 

Q1. ISO 27001/27002修訂重點是什麼?

A1. ISO27001:2013 最後一次更新在2013年，當時已經採用SL高階架構，也就是採用現行大部分管理系統條文中的10個章節作為條文架構，這也是為了多個管理系統能夠有效地兼容，因此近幾年其他系統的改版，主要也是將原有條文排列，調整成SL高階架構。既然SL高階架構在2013年已經被採用，也可以間接說明此次2022年改版重點將落在附錄A相關的ISO27002，而非ISO27001條款的變動。

 

Q2. ISO 27001:2022的變化有哪些?

A2. 雖然ISO27001:2022改版並非此次改版的重點項目，但依然有少許的變動需要注意。

• ISO 27001 : 2022 的主要部分，即第 4 至 10 章，沒有改變，這些條款包括範圍、利害相關者、背景、資訊安全政策、風險管理、資源、培訓和意識、溝通、文件管理、監視和測量、內部稽核、管理審查和糾正措施。
• 更新 ISO 27001 附錄 A 和 ISO 27002 中列出的安全控制措施。

 

Q3. ISO27002:20222與ISO27001 附錄A的變動?

A3.此次資訊管理系統的重頭戲，就在於ISO27002:2022改版，這也會進一步的影響已導入並執行ISO27001 資訊管理系統的企業。

• ISO/IEC 27002：2013 包含 114 項控制措施，分為 14 章節。在2022年版本中包含93項控制措施，分為4個章節。這四個章節分別為

  • 組織（37個控制措施）
  • 人（8個控制措施）
  • 物理（14個控制措施）
  • 技術（34個控制措施）

• ISO27001 : 2022引入11個新控制措施，但沒有刪除任何控制措施，而是將許多控制措施合併在一起，從而減少了總數。

  1. 5.7 威脅情報
  2. 5.23 使用雲服務的信息安全
  3. 5.30 ICT 為業務連續性做好準備
  4. 7.4 物理安全監控
  5. 8.9 配置管理
  6. 8.10 信息刪除
  7. 8.11 數據屏蔽
  8. 8.12 數據洩露預防
  9. 8.16 監控活動
  10. 8.23 網頁過濾
  11. 8.28 安全編碼

• 拆分了一個控件；控制2.3 技術合規審查分為：

  • 3.6 – 遵守信息安全政策、規則和標準；
  • 8 – 技術漏洞管理

 

Q4. 改版變更時間表:

A4.

ISO 27002 修訂：

ISO 27002 資訊安全、網絡安全和隱私保護 – 包含安全控制指南（參見 ISO 27001 附件 A）的資訊安全控制的修訂版於 2022 年 2 月 15 日發布。

ISO 27001 修訂：

ISO 27001 是公司獲得認證的主要標準，並規定了資訊安全管理系統 (ISMS) 的要求，預計將於 2022 年下半年時候發布。具體日期尚未公佈。替代附錄 A 控制 (ISO 27002:2022) 的修訂草案已於2022年2月發布。對 ISO 27001 的修訂應該是正式的，因為相同的內容已在 ISO 27002 的發布下獲得批准。

 

Q5.公司現在想開始導入 ISO 27001，我們是等到更改發布還是應該現在開始？

A5.新版發布後，依然需要幾個月的緩衝期，讓驗證公司的稽核員取得稽核資格，因此及時新版下半年發布，預估也要到2023年才能開始稽核，因此若是現在有客戶要求，可以立即導入ISO27001:2013版本，之後換正在進行轉版。若無特殊要求，建議可以等到新版發布。換句話說，這個問題取決於公司需要多快取得ISO27001證書。

 

Q6.如果現在想要導入ISO27001，公司是要採用新的控制措施還是舊有控制措施呢?

A6.由於ISO27001的新版尚未發布，建議從現有控制措施開始。預計控制措施的更改並非大變動，因此可在之後在進行文件上的更動，通常這是管理系統改版不可避免的過程。

 

Q7.目前公司已經導入並開始執行ISO27001:2013，我們需要在文件上進行那些變動?

A7. 標準的變化主要是關於重新編排組織控制項目，大體來說不影響舊版所實施的內容，所以不需要技術上的變化，只需要應對新版要求，在文件中更動。

由於改版並非大改，所以我們建議貴司不要添加新文件或刪除任何現有文件。

我們建議，符合這些改版的最好方式是：

1. 使用新的控制項目更新您的風險處理流程
2. 更新您的適用性聲明
3. 調整現有政策和程序中的某些部分。

 

Q8. 我們什麼時候需要開始更改文件？

A8. 目前的過渡期尚未公佈，但從 ISO 27001:2022 官方更新之日起可能為3 年。因此公司應該是有足夠的時間來進行文件調整。

 

Q9. 驪鑫會如何協助我們將現有ISO27001版本過渡到新版呢?

A9. 是的，驪鑫將使現有執行ISO27001客戶能夠輕鬆過渡，我們已經準備新版相關文件與對應方式。當然，若有需要我們也提供ISO27001與ISO27002新版條文教育訓練、內部稽核教育訓練與相關培訓。

 

Q10. ISO 27001與ISO 27002 有什麼區別?

A10. ISO27001為主要資訊安全系統標準，內容說明了公司在導入此標準系統應該要管制的範圍，但別沒有說明應該要如何實施，而僅在ISO27001提供了資訊安全控制的列表。而ISO 27002 列出了這些完全相同的控制措施，並就如何實施這些措施提供了指導。但是，ISO 27002 中的該指南不是強制性的，即公司可以決定是否使用這些指南。

 

Q11.能否告知 ISO27002改版差異內容呢?

A11. 雖然 ISO 27002:2013 中的一些控制措施似乎已合併到 ISO 27002:2022 中，但以下控制措施為新增的，下圖為新舊版對照，已導入資訊安全管理系統之組織，為符合新版規範，需要進行一些調整。

ISO 27002:2022	ISO 27002:2013 等效標準
A.5.7 威脅情報	A.6.1.4 與特殊利益集團的聯繫
A.5.16 身份管理	A.9.2.1 用戶註冊和註銷
A.5.23 使用雲服務的資訊安全	A.15.x 供應商關係
A.5.29 中斷期間的資訊安全	A.17.1.x 資訊安全連續性
A.5.30 ICT為業務連續性做好準備	A.17.1.3 驗證、評審和評估資訊安全連續性
A.7.4 物理安全監控	A.9.2.5 審查用戶訪問權限
A.8.9 配置管理	A.14.2.5 安全系統工程原理
A.8.10 資訊刪除	A.18.1.3 記錄保護
A.8.11 數據屏蔽	A.14.3.1 測試數據的保護
A.8.12 數據洩露預防	A.12.6.1 技術漏洞管理
A.8.16 監控活動	A.12.4.x 記錄和監控
A.8.23 網頁過濾	A.13.1.2 網絡服務的安全
A.8.28 安全編碼	A.14.2.1 安全發展政策

 

Q12. ISO27001:2022與ISO27002:2022 改版的過渡期是多久呢?

A12. 目前ISO27001:2022尚未發布，但對於當前已取得證書的公司而言，將有3年的過渡期，這是所有ISO標準的規範。

 

Q13. ISO 27002:2022 和 ISO 27001:2022 會影響我目前的 ISO 27001:2013 認證？

A13. ISO 27002 更新不會影響企業當前的 ISO 27001 認證。只有 ISO 27001 更新會對現有認證產生影響，到時與驗證機構聯繫，討論如何進行新版的驗證與過渡期， 這將會使有ISO 27001 證書的企業有足夠的時間轉換到新版。