Tổng quan về các thay đổi trong ISO/IEC 27001:2022 so với phiên bản 2013
Soạn bởi: Nguyễn Đăng Quang
Lead Auditor ISO/IEC27001 - ISO 9001, 14001, 22301, 27001, 45001, 50001
Completed training in TISAX Assessor
ISO/IEC 27001:2022 chính thức thay thế phiên bản 2013, mang đến những cập nhật quan trọng về cấu trúc kiểm soát, cách tổ chức tài liệu và các yêu cầu trong hệ thống ISMS. Việc hiểu rõ các thay đổi là bước đầu tiên để doanh nghiệp chuẩn bị chuyển đổi hiệu quả và không bị gián đoạn chứng nhận.
🔍 Tại sao có phiên bản mới?
Trong bối cảnh an ninh mạng, điện toán đám mây, và dữ liệu cá nhân ngày càng quan trọng, ISO/IEC 27001:2022 ra đời nhằm cập nhật hệ thống quản lý bảo mật phù hợp hơn với hiện tại và tương lai. Phiên bản mới đồng bộ với ISO/IEC 27002:2022 – bộ hướng dẫn triển khai các kiểm soát bảo mật.
⚙️ Các thay đổi chính trong ISO/IEC 27001:2022
✅ 1. Cấu trúc kiểm soát thay đổi – từ 114 còn 93 kiểm soát
Phiên bản 2022 tổ chức lại các kiểm soát trong Phụ lục A như sau:
Phiên bản 2013 | Phiên bản 2022 |
14 nhóm kiểm soát | 4 nhóm kiểm soát mới |
114 kiểm soát | 93 kiểm soát |
4 nhóm kiểm soát mới trong bản 2022:
• A.5 Organizational controls (37 kiểm soát)
• A.6 People controls (8 kiểm soát)
• A.7 Physical controls (14 kiểm soát)
• A.8 Technological controls (34 kiểm soát)
🆕 2. Thêm mới 11 kiểm soát quan trọng
Một số kiểm soát mới đáng chú ý trong bản 2022:
Mã kiểm soát | Tên kiểm soát mới |
A.5.7 | Threat Intelligence – Tình báo mối đe dọa |
A.5.23 | Information Security for use of Cloud Services |
A.5.30 | ICT Readiness for Business Continuity |
A.8.9 | Configuration Management |
A.8.10 | Data Deletion |
A.8.11 | Data Masking |
A.8.12 | Data Leakage Prevention |
A.8.16 | Monitoring Activities |
A.8.23 | Web Filtering |
A.8.28 | Secure Coding |
⚠️ 3. Điều khoản yêu cầu được cập nhật
Một số điều khoản trong phần chính của tiêu chuẩn (Clause 4–10) được điều chỉnh để rõ ràng và dễ áp dụng hơn:
• Clause 4.2 – Cập nhật yêu cầu xác định nhu cầu và kỳ vọng của các bên liên quan
• Clause 5.3 – Rõ ràng hơn về vai trò, trách nhiệm và quyền hạn trong ISMS
• Clause 6.2 (d) – Bổ sung cách đo lường mục tiêu an toàn thông tin
• Clause 6.3 – Yêu cầu lập kế hoạch thay đổi có kiểm soát
• Clause 9.2 – Yêu cầu đánh giá hiệu suất ISMS cụ thể hơn
• Clause 9.3 – Xem xét của lãnh đạo bổ sung yêu cầu đánh giá thay đổi và phản hồi từ các bên
📅 Mốc thời gian cần lưu ý
⏳ Hạn chót chuyển đổi chứng nhận: 31/10/2025
Sau thời điểm này, chứng nhận ISO/IEC 27001:2013 sẽ không còn hiệu lực.
🎯 Làm gì để chuyển đổi hiệu quả?
• Đánh giá khoảng cách (Gap Analysis) giữa hệ thống hiện tại và các yêu cầu mới
• Cập nhật SoA (Tuyên bố áp dụng) theo 93 kiểm soát mới
• Đào tạo đội ngũ về các điều khoản cập nhật và kiểm soát mới
• Thực hiện đánh giá nội bộ phiên bản mới trước khi bước vào chứng nhận lại
💡 ISO/IEC27001
Việc chuyển đổi sang ISO/IEC 27001:2022 không chỉ là yêu cầu chứng nhận, mà còn là cơ hội để tổ chức nâng cấp hệ thống an toàn thông tin, thích ứng tốt hơn với rủi ro hiện đại và khẳng định cam kết với khách hàng và đối tác.
📩 Cần hỗ trợ đánh giá thực trạng hoặc đào tạo chuyển đổi ISO/IEC 27001:2022?
👉 Liên hệ NQA Việt Nam để được hỗ trợ chứng nhận và nhận bộ tài liệu tặng kèm!
📩 Cần hỗ trợ triển khai & đánh giá chứng nhận ISO/IEC 27001?
👉 Liên hệ NQA Việt Nam – tổ chức chứng nhận ISO 27001 được công nhận bởi UKAS (Anh Quốc)
📞 Hotline: 0912 300 560
🌐 Website: https://nqa.com.vn
📩 Đăng ký nhận tài liệu tặng kèm tại: [NQA FORM]
Chuỗi các bài viết về ISO/IEC 27001:2022 bởi NQA Việt Nam
1. ISO/IEC 27001 là gì ?
2. Tổng quan về các thay đổi trong ISO/IEC 27001 2022
3. Tại sao doanh nghiệp nên áp dụng ISO/IEC 27001:2022
4. Lộ trình 5 bước triển khai ISO/IEC 27001:2022
5. ...
6