Những thay đổi mới của ISO 27001 và ISO 27002 (P.I)
Thời gian đọc bài 3 phút
Đăng bài TonyPI
Nội dung NQA Global
Hoạch định những thay đổi ISO 27001 và ISO 27002 phiên bản mới
ISO / IEC 27001 và ISO / IEC 27002 đều đang được sửa đổi. ISO / IEC 27002 dự kiến sẽ được xuất bản vào tháng 1 năm 2022 và ISO / IEC 27001 sẽ được áp dụng ngay sau đó. Ủy ban kỹ thuật chung của Tổ chức tiêu chuẩn hóa quốc tế (ISO) / Ủy ban kỹ thuật điện quốc tế (IEC), ISO / IEC JTC 1, đang thay đổi cấu trúc của khung kiểm soát ISO / IEC 27001 / 27002 sau gần 20 năm.
Sự khác biệt giữa ISO 27001 và ISO 27002 là gì?
Các tổ chức có thể đạt được chứng nhận ISO / IEC 27001 nhưng không phải là ISO / IEC 27002. Các yêu cầu về tài liệu ISO / IEC 27001 để thiết lập, triển khai, duy trì và liên tục cải tiến hệ thống quản lý an toàn thông tin, trong khi ISO / IEC 27002 được thiết kế cho các tổ chức sử dụng như tài liệu tham khảo để lựa chọn các biện pháp kiểm soát và cung cấp các hướng dẫn về thực hành quản lý an toàn thông tin. Bao gồm việc thực hiện và quản lý các biện pháp kiểm soát, có tính đến môi trường rủi ro về an toàn thông tin của tổ chức. Các tổ chức có thể được chứng nhận theo các tiêu chuẩn có các yêu cầu nhưng không thể được chứng nhận theo các tiêu chuẩn cung cấp hướng dẫn.
Những thay đổi trong ISO / IEC 27001: 2022
Những thay đổi chính trong ISO / IEC 27001: 2022 có thể bao gồm:
♦️ Phụ lục A viện dẫn đến các biện pháp kiểm soát trong ISO / IEC 27002: 2022, có thể bao gồm tiêu đề kiểm soát và kiểm soát;
♦️ Lưu ý trong Điều khoản 6.1.3 c) được sửa đổi một cách biên tập, bao gồm việc xóa “mục tiêu kiểm soát” và thay thế “kiểm soát an toàn thông tin” bằng “kiểm soát”;
♦️ Từ ngữ của Điều 6.1.3 d) được sửa đổi để cung cấp sự rõ ràng và loại bỏ sự mơ hồ.
Những thay đổi trong ISO / IEC 27002: 2022
ISO / IEC 27002: 2013 bao gồm 114 điều khiển trong 14 lĩnh vực; ISO / IEC 27002: 2022 sẽ có thể bao gồm 93 điều khiển trong 4 lĩnh vực:
♦️ Chương 5 - Tổ chức (nếu chúng không thuộc bất kỳ yêu cầu nào khác) - 37 kiểm soát
♦️ Chương 6 - Con người (nếu họ liên quan đến từng người) - 8 kiểm soát
♦️ Chương 7 - Vật lý (nếu chúng liên quan đến các đối tượng vật lý) - 14 kiểm soát
♦️ Chương 8 - Công nghệ (nếu họ liên quan đến công nghệ) - 34 kiểm soát
Hiện có 5 thuộc tính kiểm soát cho mỗi kiểm soát:
♦️ Cách phân loại - ngăn ngừa, phát hiện, sửa chữa
♦️ Các thuộc tính an toàn thông tin - tính bí mật, tính toàn vẹn, tính sẵn sàng
♦️ Các khái niệm về an ninh mạng - xác định, bảo vệ, phát hiện, phản hồi, phục hồi
♦️ Khả năng vận hành - quản trị, quản lý tài sản, bảo vệ thông tin, bảo mật nguồn nhân lực, bảo mật vật lý, bảo mật hệ thống và mạng, bảo mật ứng dụng, cấu hình an toàn, quản lý danh tính và truy cập, quản lý mối đe dọa và lỗ hổng bảo mật, tính liên tục, bảo mật mối quan hệ nhà cung cấp, pháp lý và tuân thủ, thông tin quản lý sự kiện an ninh, đảm bảo an toàn thông tin
♦️ Lĩnh vực an toàn - quản trị và hệ sinh thái, bảo vệ, phòng thủ, khả năng phục hồi
Chúng tôi sẽ cung cấp cho bạn một thông tin rõ ràng về chi phí đạt được và duy trì chứng nhận.
Nếu bạn chưa sẵn sàng? Gọi cho chúng tôi theo số 091 203 5885 hoặc yêu cầu gọi lại để thảo luận về các yêu cầu chứng nhận ISO 27001 của bạn.