2022年10月发布的ISO/IEC 27001:2022标准取代了2013版。新版标准引入了一系列的更新，为了帮助组织理解这些修改，本文提供了关于如何基于新版本进行信息安全管理体系建设、优化和认证的指南。通过参考和实践这些策略和建议，从业者能够有效地建立和完善自身的信息安全管理体系，从而成功获取新版ISO 27001的认证。

（1）标准名称的变化

ISO 27001和ISO 27002的官方标准名称已更新为ISO/IEC 27001:2022《信息安全、网络安全和隐私保护 信息安全管理体系 要求》以及ISO/IEC 27002:2022《信息安全、网络安全和隐私保护 信息安全控制》。这表示新标准从原本的“信息技术 安全技术”扩展到了“信息安全、网络安全和隐私保护”。这个变化反映了新标准的目标是紧跟现代信息技术和信息安全的发展潮流，以便在不断进步的环境中保持领先地位和实用性。

（2）标准内容的变化

ISO 27002:2022标准是在ISO 27002:2013的基础上进行了改进和优化。新版标准对原有的14个控制领域以及114个控制项进行了细致的审查，并进行了合并、剔除和引入新的控制项。最新的ISO/IEC 27002:2022标准明确列出了93个控制项，涵盖了4个主题和15个安全运营能力域。这些改动使得新版标准更加针对性和实用性，更能够满足现代信息安全管理的需求。

修订后的2022版信息安全控制措施将93项分配到了四大主题，即组织、人员、物理和技术。这使得组织能够更方便地选择和归类安全控制点，并通过特定主题策略来支持信息安全策略的实施。相比2013版，2022版还增加了11个安全控制项，包括威胁情报、云服务使用的信息安全、业务连续性中ICT准备、物理安全监控、配置管理、信息删除、数据脱敏、数据防泄露、监控活动、网页过滤和安全编码。这些变化进一步加强了信息安全控制的实施。

推荐组织参照最新版的ISO 27001和ISO 27002标准构建和优化信息安全管理体系。

（1）建设体系

在建设信息安全管理体系过程中，首要步骤是评估组织现有的信息安全状况，并明确可能导致信息资产泄露、破坏或丢失的威胁及其影响。评估方法多样，包括差距分析和风险评估、基于资产的风险评估、对特定业务流程或IT流程的风险评估，以及技术评估等。

基于资产的风险评估在ISO 27001认证项目中得到广泛应用。根据评估结果，参考ISO 27002的控制要求，选择适合组织实际需求的信息安全控制措施来管理风险。制定一套信息安全管理制度体系文件，指导信息安全管理工作，并确保员工明确自身职责和任务。

编制完成后，进行审核与批准并发布实施，然后进行试运行至少3个月，检验体系运行中存在的不足并进行调整。试运行结束后，进行内部审核和管理层审查，持续优化信息安全管理体系，确保满足组织需求和目标。最后，邀请认证机构进行认证审核，若通过则获得ISO 27001的认证证书。

（2）优化体系

理解ISO 27001:2022与ISO 27001:2013之间的差异以及这些差异的实际意义。

对现有的信息安全管理系统进行全面审查，确定其符合新标准要求的优势和改进的需要。

制定详细的改进行动计划，包括修改政策和程序，引入新的控制措施，进行必要的额外培训等。

针对新版中新增的控制项，在现有的信息安全管理制度中进行相应的补充和完善。

进行至少3个月的试运行，并执行内部审核，确保满足了所有新版标准的要求。

管理层需要审查更新后的信息安全管理体系，确认其符合组织的业务需求和目标。

邀请认证机构进行认证审核，成功通过审核后获得ISO 27001:2022的认证证书。

（3）专项建设

设计安全体系

数据安全管理体系应当是信息安全管理体系的重要组成部分，需要与现有安全管理体系融合，并将其纳入到现有的安全体系运营中。

组织在进行数据安全管理体系建设时，可以参考相关法律法规、行业监管要求以及ISO 27002标准要求。

在深入理解关键业务流程和业务系统的基础上，组织应该梳理数据资产，明确数据的分布、流转和处理过程，并识别敏感数据的安全风险。

基于风险评估的结果，组织需要制定和实施数据安全策略，包括建立数据安全管理组织、制定数据安全管理制度流程、部署数据安全技术工具等。

数据安全管理组织架构可以参考信息安全管理体系的决策层、管理层、执行层和监督层四个层级，在原有组织体系的基础上增加对数据安全的职责。

数据安全管理制度体系分为四层架构，每一层作为上一层的支撑。第一层是管理总纲，明确数据安全治理的目标和重点。第二层是管理制度，建立各类管理内容的安全管理制度。第三层是操作流程和规范性文件，指导数据安全策略的落地。第四层是流程图和表单文件，作为执行文件支持数据安全运营。组织应根据方针策略，建立与制度流程相配套的技术和工具，并定期监控和审计数据安全措施的效果以改进管理体系。

设计外包体系

信息科技外包管理体系对于依赖外包服务商执行大量任务的组织来说非常重要，特别是对于银行和保险机构。

根据相关规定，银行和保险机构需要对信息科技外包活动进行规范，并强化对外包风险的管控。ISO 27002:2022标准中的“供应商关系安全”领域的控制要求可以作为参考，并结合外包商及其员工的安全管理实践，来构建信息科技外包管理组织架构，以及更新和完善管理体系文件。

管理体系文件应明确规定外包的种类、准入标准、尽职调查流程和内容、合同管理、监控评估、风险管理以及安全管理等方面的内容。

实施这些工作可以帮助组织更有效地识别和管理与外包商和外包人员相关的安全风险，预防可能导致的安全问题的发生。

设计生命周期

在信息安全管理体系中，信息系统开发生命周期安全管理是一个重要组成部分。组织应参考ISO 27002:2022标准中“应用安全”领域的控制要求，并结合安全开发生命周期实践，关注从需求分析、设计、编码、测试到部署和维护的整个信息系统开发过程中融入安全性的考虑。

为了进行有效的信息系统开发生命周期安全管理，组织首先需要制定明确的策略。这一策略应明确规定整个信息系统开发生命周期中的安全管理方式。具体来说，策略应包括以下内容：

安全需求识别：明确识别信息系统开发中的安全需求，确保在整个开发过程中对安全问题有所关注。

安全设计原则：明确阐述信息系统开发中的安全设计原则，指导开发人员在设计阶段将安全性考虑纳入到系统架构和功能设计中。

安全编码实践：提供安全编码的具体实践指南，确保开发人员在编码过程中采取适当的安全措施，避免常见的安全漏洞。

安全测试：定义安全测试的方法和准则，确保在测试阶段对系统的安全性进行全面评估和验证。

部署和维护中的安全管理：提供在系统部署和维护过程中的安全管理指南，确保系统在运行过程中持续保持安全状态。

对员工进行培训：对员工进行培训是提升整个生命周期安全性的关键。培训可以确保员工具备足够的安全知识和技能。开发人员需要了解如何避免常见的安全漏洞，测试人员需要掌握安全测试方法，运维人员需要了解如何保护生产环境的安全。

通过制定明确的策略并结合ISO 27002:2022标准中的控制要求，组织可以有效地进行信息系统开发生命周期安全管理，从而保障信息系统的整体安全性。