研究 · INV-14

过渡到ISO 27001:2022：55%的组织低估了新控制措施的工作量

Fernando Arrieta·2025年11月4日

ISO 27001过渡合规

概述

关于本研究

对阿根廷、哥伦比亚、墨西哥和秘鲁的80个从2013版过渡到2022版ISO/IEC 27001的项目进行的分析显示，55%的组织因低估了11项新控制措施的复杂性而面临超过30%的进度延误。产生最大实施困难的控制措施包括：威胁情报（A.5.7）— 62%缺乏正式的来源和分析流程；云安全（A.5.23）— 48%没有定义云服务选择和管理的安全标准；以及配置管理（A.8.9）— 53%没有记录在案的配置基线或变更监控工具。研究发现，将过渡仅仅视为“文件映射”（在不进行运营变更的情况下更新适用性声明）的组织，其外部审计发现率是那些进行运营差距分析的组织的3倍。开发了一份针对11项新控制措施的逐步合规指南，将实施时间平均减少了25%。

关键发现

研究发现

以研究中可验证的数据回答的核心问题。

有多少比例的项目延期？— 55%因低估新控制措施而导致进度偏差超过30%。

哪些控制措施最困难？— 威胁情报（62%无流程）、云安全（48%无标准）、配置管理（53%无基线）。

“文件映射”的风险是什么？— 外部审计发现率是进行运营分析的组织的3倍。

方法论

研究方法

研究过程中执行的步骤、咨询的来源和收集的证据。

规范和理论框架: ISO/IEC 27001:2022（第4-10条款和附录A的变更）；IAF MD 26过渡指南；ISO/IEC 27002:2022（控制措施实施指南）；NIST CSF 2.0（与新控制措施的一致性）。

01跟踪4个国家的80个过渡项目（进度计划 vs. 实际执行）

02按控制措施进行的实施难度调查（11项新控制措施）

03分析内部和外部审计报告：过渡方法与发现数量之间的相关性

04在10家试点组织中验证合规指南

可交付成果

可用的交付成果

包含本研究完整结果的文档，可适用于每个组织的具体情况。

ISO 27001:2022 11项新控制措施实施指南

运营 vs. 文件过渡检查表

下载审计材料

申请获取研究 [INV-14] 的完整方法论包。仅供机构使用。

Tratamiento de datos confidencial según ISO/IEC 27001

补充研究

扩展或对比本研究发现的相关研究。

ISO 27001 + ISO 42001融合：37个共享控制措施和40%的实施成本节约INV-03 面向董事会的ISO 27001：所有93项控制措施转化为业务风险和财务影响INV-07 ISO 27001认证系统 AI 审计系统 AI 治理系统信息安全系统

传播

分享研究

帮助传播可验证的治理证据。

分享到 LinkedIn 分享到 X 通过邮件分享

这项研究适用于您的组织吗？

如果咨询具有机构性质并有相关背景，我们可以指导后续步骤。

开始对话查看所有研究

Cargando

Preparando la información solicitada…