| 条款 | 新文本 | 专家解读 |
| 4.2 | 了解相关方的需求和期望 | 该组织应确定:a) 信息安全管理体系相关方b) 这些相关方与信息安全相关的要求c) 这些要求中的哪些将通过信息安全管理体系来解决 | 明确与信息安全管理体系之间的关系 |
| 4.4 | 信息安全管理制度 | 该组织应建立、实施、维护并持续改进信息安全管理体系。包括所需的过程和它们之间的相互作用。按照本标准的要求,建立、实现、维护和持续改进信息安全管理体系 | 适当地引用了其他管理体系中的标准,例:ISO 9001:2015ISO 22301:2019 |
| 6.2 | 信息安全目标和实现这些目标的规划 | 信息安全目标应:a) ......;a) ......;c) ......;d) 被监测;e) ......;f) ......;g) 可作为文件信息提供。 | 1、d)适当地引用了其他管理体系中的标准,例:ISO 9001:2015ISO 22301:20192、对信息安全目标进行制度化,促进信息安全目标的实现
|
| 7.4 | 沟通 | 组织应确定与信息安全管理体系相关的内容和外部的沟通需求,包括:a) 沟通什么;b) 何时沟通;c) 与谁沟通;d) 如何沟通;e) 谁来沟通;f) 影响沟通的过程。 | 对“谁来沟通”和“影响沟通的过程”进行了删除,用“如何沟通”简化并明确相关的内容 |
| 8.1 | 运行规划和控制 | 该组织应通过以下方式计划、实施和控制流程......。为这些过程制定标准;根据标准实施对过程的控制。 | 适当地引用了其他管理体系中的标准,例:ISO 9001:2015ISO 22301:2019 |
| 9.1 | 监测、测量、分析和评价 | 该组织应确定:a) ......;b) ......所选择的方法应产生可比较和可重复的结果,才能被视为有效;c) ......; | 这是ISO/IEC 27001:2013条款9.1.b)中的一个备注。 |
| 9.3.2 | 管理评审输入 | 管理评审应包括对以下方面的考虑。a) ......;b) ......;c) 与信息安全管理体系有关的有关各方的需求和期望的变化;d) ...... | 与4.2相关方的需求和期望相结合 |
| 条款 | ISO/IEC 27001:2022 | ISO/IEC 27001:2013 | 专家解读 |
| 4.1 理解组织及其环境 | 注:确定这些问题是指建立组织的外部和内部环境在考虑ISO 31000:2018第5.4.1条 | 注:确定这些问题是指建立组织的外部和内部环境考虑在ISO 31000:2009第5.3条 | 备注中对ISO 31000的引用是根据新版的ISO 31000更新的。 |
| 5.1 领导和承诺 | 注:"本文件中提到的 "活动 "可被广义地解释为指那些对组织存在的目的具有核心意义的活动。" | / | 在ISO/IEC 27001:2022第5.1条中增加了一个新的备注。 |
| 5.3 组织角色、责任和权力 | 最高管理层应确保与信息安全有关的角色的责任和权限在该组织内得到分配和沟通。 | 最高管理层应确保与信息安全有关的角色的责任和权限得到分配和传达。 | ISO/IEC 27001:2022规定,信息安全责任和权限应在组织内进行沟通。与组织外各方的沟通在7.4中涉及。 |
| 6.1.3 信息安全风险处置 | c) 注2:附录A包含列表中可能的信息安全控制。 | c) 注2:附录A包含一个全面的清单控制目标和控制措施。 | 该说明改写为:附录A中所列的信息安全控制措施是一份可能的信息安全控制措施清单,而不是一份全面的清单。它澄清了附录A的控制措施并非详尽无遗,可以包括额外的信息安全控制措施,正如该条款的第二个注释所指出的。 |
| 8.1 运行规划和控制 | 组织应计划、实施和控制满足要求所需的过程,并做到实施第6条中确定的行动。 | 为了满足信息安全要求以及实现6.1 中确定的措施,组织应规划、实现和控制所需要的过程。组织还应实现为达到6. 2 中确定的信息安全目标一系列计划。 | 第8.1条中的句子被重新表述,但要求没有改变。 |
| 组织应确保外部提供的相关过程、产品或服务对信息安全管理体系进行控制 | 组织应确保外包过程是确定的和受控的。 | 信息安全方面的一些服务,如数据中心或云服务,被归类为外部提供而不是外包更合适。 |
| 9.1 监测、测量、分析和评9.2.2 内部审核方案9.3.3 管理评审结果 | 应提供文件化信息作为结果的证据 | 组织应保留适当的文件化信息作为监视和测量结果的证据。 | 与文件信息要求有关的句子被重新措辞,但要求没有改变。 |
发表于 2022-10-26 22:01:17
发表于 2022-10-27 08:18:39
