ISO 27001:2022版本已发布超过三年,过渡期限即将到期。然而,拉丁美洲仍有大量组织在使用2013版本,或者更糟的是,开始了过渡但中途放弃。如果您的组织属于这两种情况之一,本快速指南涵盖了您需要立即处理的关键要点。
2013与2022之间的变化
高级结构(第4至10条)没有根本性变化。主要调整集中在三个领域:第6.3条新增了变更规划要求,第8.1条加强了外包流程管理标准,附录A从14个域的114个控制项变为4个主题类别的93个控制项。新增11个控制项,合并24个,消除重复。
不可忽视的11个新控制项
2013版本中不存在的控制项包括:A.5.7威胁情报、A.5.23云安全、A.5.30业务连续性ICT准备、A.7.4物理安全监控、A.8.9配置管理、A.8.10信息删除、A.8.11数据掩码、A.8.12数据泄露防护、A.8.16活动监控、A.8.23网络过滤和A.8.28安全编码。
常见过渡错误
根据我们的ISO 27001:2022过渡研究数据,最常见的错误包括:不进行差距分析的1:1控制项映射、忽略适用性声明、未培训内部审计员以及低估新技术控制项。
操作清单
如果您的组织需要完成过渡,请从ISO 27001:2022差距分析开始,在72个工作小时内获得具体答案。