ISO 27001:2013与ISO 27001:2022差异的详细分析。附件A重组、新控制措施、过渡期限和迁移策略。
从ISO 27001:2013到2022版本的过渡代表了十年来最重大的更新。虽然主体要求(条款4-10)变化较小,但附件A被完全重组:从14个域的114项控制变为4个主题类别的93项控制。
| 方面 | ISO 27001:2013 | ISO 27001:2022 |
|---|---|---|
| 附件A结构 | 114项控制措施分为14个域(A.5至A.18):安全方针、组织、人力资源、资产管理、访问控制、密码学、物理安全、运营、通信、开发、供应商、事件、连续性和合规。 | 93项控制重组为4个主题类别:组织(37)、人员(8)、物理(14)和技术(34)。重组消除冗余,合并相关控制,新增11项反映当前威胁的控制。 |
| 新控制措施 | 不适用。2013版本作为有效标准使用了近十年,未更新控制措施。 | 11项新控制:威胁情报(A.5.7)、云安全(A.5.23)、ICT连续性准备(A.5.30)、物理安全监控(A.7.4)、配置管理(A.8.9)、信息删除(A.8.10)、数据掩码(A.8.11)、数据泄漏预防(A.8.12)、活动监控(A.8.16)、网页过滤(A.8.23)和安全编码(A.8.28)。 |
| 控制属性 | 控制措施不包含域之外的元数据或分类。每项控制的评估仅基于其描述和ISO 27002:2013实施指南。 | 每项控制包含5个分类属性:类型(预防、检测、纠正)、安全属性(CIA)、网络安全概念(NIST)、运营能力和安全域。便于基于组织背景的筛选和优先级确定。 |
| 主要条款变化 | 条款4至10建立了管理体系的原始要求:背景、领导力、规划、支持、运营、绩效评估和改进。 | 变化较小但重要:条款4.2要求明确分析哪些相关方要求将通过ISMS处理。条款6.3引入ISMS计划变更管理。条款8.1加强外部流程、产品和服务控制的运营规划。 |
| 过渡期限 | ISO 27001:2013认证于2025年10月31日失效。未完成过渡的组织失去认证,须在2022版本下重新开始流程。 | 所有新认证和再认证均在ISO 27001:2022下进行。认证机构自2024年4月起审核2022版本。 |
2022版本不是根本性变革而是必要的演进。11项新控制反映了2013年不存在或不普遍的威胁:云安全、威胁情报、数据泄漏预防和安全编码。对于新实施的组织,2022版本提供了更合理的结构,与当前威胁格局保持一致。
自2025年11月起,2013版认证不再有效。需要在ISO 27001:2022下启动认证流程。但之前ISMS的经验和文档可以利用,迁移比从头实施快得多。
不是。与2013版一样,组织通过适用性声明(SoA)选择适用控制。每项排除须基于风险评估论证。但威胁情报和云安全等控制对大多数现代组织难以排除。
对于ISMS成熟的组织,技术过渡可在3-6个月内完成。流程包括:对2022版本的差距分析、用11项新控制更新SoA、调整文档和认证机构的过渡审核。