2022年2月15日，ISO/IEC 27002：2022《信息安全、网络安全和隐私保护—信息安全控制》发布，为使ISO/IEC 27001的附录A与ISO/IEC 27002：2022一致，其同系列的标准ISO/IEC FDIS 27001(终版草案稿)已于近日发布，并发送给所有ISO成员机构进行投票，投票将于2022年9月22日结束，新版标准也将于2022年10月对外公布。

ISO/IEC 27001：2022 FDIS 正文的主要变化：

具体变化如下：

1、标题的变化

FDIS版的标题改为《信息安全、网络安全和隐私保护—信息安全管理体系—要求》，它与ISO/IEC 27002：2022的标题《信息安全、网络安全和隐私保护—信息安全控制》一致。

2、条款编号的变化

1）在ISO/IEC FDIS 27001中引入了新的子条款

新的子条款的引入进一步协调了与其他管理体系标准的文件结构，如ISO 9001：2015、ISO 22301：2019。

2）两个子条款的顺序是互换的

尽管如此，各分项中的要求没有变化。

3、新文本的变化

在ISO/IEC FDIS 27001中引入了新的文本。

虽然增加了新的文本，并重新安排了一些文本，但它们只是澄清了要求，并没有给标准增加新的要求。

4、附录A的变化

附录A的标题改为“信息安全控制措施参考”。另外，控制措施也进行了修订，用来与ISO/IEC 27002：2022保持一致。

然而，与2013年版本的情况一样，只有控制的描述来自于ISO/IEC 27002：2022。ISO/IEC 27002：2022中的其他元素，如控制的目的和属性，并没有包括在ISO/IEC FDIS 27001附录A中。实施ISO/IEC 27001的组织应参考该指导标准，以更好地理解信息安全控制。

5、其他变化

正如预期的那样，附录A被修订为与ISO/IEC 27002：2022中的信息安全控制相一致，这也是ISO/IEC FDIS 27001最重要的变化。条款4-10的变化是编辑上的小改动，以进一步与其他管理体系标准的结构保持一致。

为顺利过渡到新版本，已经通过ISO/IEC 27001：2013认证的组织需要引起重视，根据新的子条款和修改后的要求修订内部政策，并根据ISO/IEC FDIS 27001附录A修订风险评估结果和风险处置计划。

理解新标准的要求，参加新标准培训：要重点学习新版ISO/IEC 27001和ISO/IEC 27002变化的内容，可以参加本公司新版标准的培训课程；进行差距分析，制定转换计划：对现有控制和ISO/IEC 27002：2022中列出的控制进行差距分析；查看风险评估，判断是否因标准变化带来了新的风险；查看包含或排除必要控制的证据和理由，并相应地更新SOA，根据组织的风险处理计划和新的控制来实施适用的变更。根据以上内容制定转换计划，分配和沟通各相关岗位职责；执行转换计划，新标准实施：执行转换计划的安排，并注意每项计划所需资源、时间等的差异。完成策划的各项计划后，管理体系按新标准运行实施；内部评估：管理体系按新标准运行后，可以通过内部审核和管理评审来验证变更内容是否得到有效实施，帮助组织有效评估新标准运行情况，确保转换工作顺利完成；申请标准转换审核：准备就绪之后，可联系本公司进行相应转换审核工作。