ISO/IEC 27002:2022和ISO/IEC 27001:2022规范于2022年的2月与10月别离露脸，替代了从前的2013版。在新版别推出后的三年内，一切已取得2013版ISO 27001认证的安排需求逐渐完结转版认证作业，即选用2022版的规范进行认证。

　　相较于2013版别，新版规范引进了一系列的更新。为帮忙安排深化了解这些修正，本文将具体解读新版别的改动内容，并供给一份关于怎么根据新版别进行信息安全办理系统建造、优化和认证的具体攻略。经过参阅和实践这些战略和主张，安排将能有用地树立和完善自身的信息安全办理系统，然后顺畅地获取新版ISO 27001的认证。

　　新版ISO 27001和ISO 27002的官方规范称号现已更新为ISO/IEC 27001:2022《信息安全、网络安全和隐私维护 信息安全办理系统 要求》以及ISO/IEC 27002:2022《信息安全、网络安全和隐私维护 信息安全操控》。这两个新的标题就清楚地提醒出，其掩盖的规模已从本来的“信息技能 安全技能”扩展至“信息安全、网络安全和隐私维护”。这个改动表现了新规范致力于紧跟现代信息技能与信息安全的开展潮流，以便在不断进步的环境中坚持其应有的领先地位和实用性。

　　ISO 27002:2022规范在ISO 27002:2013的根底上施行了一系列的改善和优化。关于原有的14个操控范畴以及114个操控项，新版规范进行了详尽的查看，对部分内容进行了兼并、除掉，并引进了新的操控项。

　　在最新的ISO/IEC 27002:2022规范中，清晰列出了93个操控项，这些操控项涵盖了4个主题和15个安全运营才能域。这些改动使得新版规范更具有针对性和实用性，更能满意现代信息安全办理的需求。

　　运营才能是从安排的信息安全才能视点来看待操控的一个特色。包含办理、财物办理、信息维护、人力资源安全、物理安全、系统和网络安全、运用安全、安全装备、身份和拜访办理、要挟和缝隙办理、连续性、供货商联系安全、法令和合规性、信息安全事情办理和信息安全保证。

　　与旧版别的14个操控域比较，新规范的15个运营才能域有几个显着的改动，如新增了“信息维护”“安全装备”“要挟和缝隙办理”范畴；部分范畴的称号也有了改动，如“信息系统获取、开发和维护”改为“运用安全”、“通讯安全”改为“系统和网络安全”等。

　　修订后的2022版将93项操控办法分配到安排、人员、物理、技能四大主题，这样方便了安排对安全操控点进行挑选归类，经过归类的特定主题战略支撑信息安全战略，以加强信息安全操控的施行。

　　2022版别相关于2013添加了11个安全操控项，包含：要挟情报、云服务运用的信息安全、事务连续性中ICT预备、物理安全监控、装备办理、信息删去、数据脱敏、数据防走漏、监控活动、网页过滤和安全编码。

　　添加的操控项首要会集在安排和技能这两大主题，安排操控主题中添加了云、要挟情报，以及事务连续性的操控点，而技能操控主题首要是添加了关于装备办理、数据安全等操控点。

　　当安排致力于构建和优化其信息安全办理系统时，强烈推荐参照最新版的ISO 27001和ISO 27002规范。这需求安排根据自身的信息安全战略，进行继续的改善并完善信息安全管控办法。

　　在信息安全办理系统建造和取得认证的进程中，寻求专业咨询安排的帮忙可以为安排带来严重好处。咨询安排的专业团队不只可以帮忙安排深化了解新规范的要求，更可以供给定制化的解决方案，辅导怎么构建和更新信息安全办理系统以满意这些规范。

　　咨询安排在帮忙安排建造信息安全办理系统并终究取得认证的进程中，将经过继续的训练和常识传递，有力地进步安排职工的信息安全认识和技能熟练度。这不只可以强化职工的信息安全素质，也能进步整个安排的信息安全防御才能，助力安排在日益杂乱的信息安全环境中稳健前行。

　　在建造信息安全办理系统进程中，安排需深化了解新版别ISO 27001和ISO 27002的规范要求和参阅定见，并树立专职的信息安全团队，担任信息安全办理系统的构建、施行及维护。

　　首要进程是对安排现有的信息安全状况进行评价，清晰或许导致信息财物走漏、损坏或丢掉的要挟及这些要挟或许形成的影响。信息安全危险评价的政策不只在于维护信息财物，一起也经过评价来规划适宜的安全办法，以保证事务的连续性。

　　施行危险评价的办法多样，比方经过对标ISO 27001和ISO 27002的距离剖析和危险评价，根据财物的危险评价，对特定事务流程或IT流程的危险评价，或许运用缝隙扫描和浸透测验进行技能评价等。其间，根据财物的危险评价在ISO 27001认证项目中被广泛运用，首要经过辨认信息财物、要挟和脆弱性三个要素，并在此根底上进行剖析和量化，运用预选的危险评价模型核算安全事情的发生或许性、潜在丢掉及对安排的影响即安全危险值。进行财物评价时，可以参阅《GB/T 20984-2022 信息安全技能 信息安全危险评价办法》的相关内容。

　　根据信息安全评价成果，参阅ISO 27002的操控要求，针对性地挑选契合安排实践需求的信息安全操控办法来办理危险。在此进程中，安排需求拟定一系列的政策和流程，即创立一套信息安全办理准则系统文件，以辅导信息安全办理作业，并保证一切职工清晰自身在信息安全办理中的责任和使命。

　　系统文件编制完结后，依照文件的操控要求进行审理与同意并发布施行，至此，信息安全办理系统将进入运转阶段，安排应进行至少3个月的试运转，试运转的意图是经过施行各项战略、程序和各种作业辅导性文件等一系列系统文件，充沛发挥系统自身的各项功用，查验规划的系统在实践运转中存在的缺乏并进行相应的调整。

　　试运转完毕后，应进行系统的内部审理，以查看信息安全办理系统是否正常运转并契合ISO 27001的要求。一起，办理层需求定时查看信息安全办理系统的运转状况和是否能满意安排的事务需求和政策。根据内部审理和办理层查看的成果，安排应继续优化信息安全办理系统，保证其一直满意安排的需求和政策。

　　完结内部审理和办理层查看后，安排可以约请认证安排进行认证审理。若顺畅经过审理，即可取得ISO 27001的认证证书。

　　在此根底上，对现有的信息安全办理系统进行全面查看，清晰其在契合新规范要求方面的优势，以及在哪些环节还存在改善的需求。

　　针对查看成果，拟定具体的改善举动方案，该方案应包含对现有政策和程序的修正，新的操控办法的引进，以及必要的额定训练等内容。关于新版中新增的操控项，需求根据安排的实践状况，在现有的信息安全办理准则中进行相应的弥补和完善。例如，新增《数据安全办理办法》《要挟情报办理办法》《安全装备办理办法》和《云服务安全办理办法》等内容，在现有的《信息系统开发安全办理准则》中弥补和更新安全编码的要求。

　　完结一切改善举动后，仍需求进行至少3个月的试运转，并履行内部审理，保证满意了一切新版规范的要求。一起，安排的办理层需求查看更新后的信息安全办理系统，承认其是否契合安排的事务需求和政策。

　　最终阶段，约请认证安排进行认证审理。成功经过审理后，安排即可获取ISO 27001:2022的认证证书。

　　数据安全办理系统应当是信息安全办理系统的重要组成部分，安排在进行数据安全办理系统建造时，要保证与现有安全办理系统的交融，并把数据安全办理系统的运营归入到现有的安全系统运营中来。

　　安排可结合数据安全相关法令法规和职业监管要求，参阅ISO 27002规范要求，在对要害事务流程和事务系统深化了解的根底上，整理安排的数据财物，清晰数据的散布、流通和处理进程，辨认敏感数据的安全危险。根据危险评价的成果，拟定和施行数据安全战略，包含树立数据安全办理安排、拟定数据安全办理准则流程、布置数据安全技能东西等。

　　数据安全办理安排架构，可以参照信息安全办理系统的四层规划，即决策层、办理层、履行层、监督层，在原有信息安全办理安排系统的根底上，对每一层级弥补数据安全的责任。

　　第一层是办理总纲，即《数据安全办理准则》，是安排数据安全顶层的政策和战略，应清晰数据安全办理的政策和要点；

　　第二层是办理准则，应对数据安全办理活动中的各类办理内容树立安全办理准则，如《数据生命周期安全办理准则》《数据分类分级安全办理准则》《数据安全应急呼应准则》《数据安全合规评价准则》等；

　　第三层是操作流程和规范性文件，是作为准则要求下辅导数据安全战略落地的攻略，如《数据安全分类分级操作攻略》《数据安全技能防护操作攻略》《数据安全审计规范》等辅导性文件；

　　第四层是流程图和表单文件，是作为数据安全落地运营进程中发生的履行文件，如《数据财物办理清单》《数据运用请求审批表》《数据安全定级流程图》等。

　　根据安排数据安全建造的政策战略，环绕数据生命周期各阶段的安全要求，树立与准则流程相配套的技能和东西，如数据防走漏东西、数据脱敏东西、数据备份东西、数据毁掉东西等。

　　数据安全办理团队应定时监控和审计数据安全操控办法的作用，发现并及时处理数据安全事情。根据监控和审计的成果，继续改善数据安全办理系统。

　　作为信息安全办理系统的要害组成部分，信息科技外包办理系统关于依靠外包服务商履行很多开发、测验和运维使命的安排来说尤为重要，他们有必要加强对信息科技外包服务商的安全办理。

　　特别是关于银行和保险安排，根据《银行保险安排信息科技外包危险监管办法》（银保监办发〔2021〕141号）规则，它们需求对信息科技外包活动进行规范，并强化对信息科技外包危险的管控。在遵从此办法的一起，这些安排还应参阅ISO 27002:2022规范中“供货商联系安全”范畴的操控要求，并结合外包商及其职工的安全办理实践，来构建信息科技外包办理安排架构，以及更新和完善信息科技外包办理系统文件。

　　办理系统文件应包含信息科技外包商安全办理办法、信息科技外包人员安全办理办法等，清晰规则信息科技外包的品种、准入规范、重要外包商的尽职查询流程和内容、信息科技外包合同办理、信息科技外包监控评价、信息科技外包危险办理以及信息安全外包的安全办理等方面的内容。

　　施行这些作业将帮忙安排更有用地辨认和办理与外包商和外包人员相关的安全危险，防备因外包服务或许导致的信息走漏、数据丢掉、事务中止、资金丢掉等安全问题的发生。

　　在信息安全办理系统中，信息系统开发生命周期安全办理是一个重要组成部分。安排应参阅ISO 27002:2022规范中“运用安全”范畴的操控要求，结合安全开发生命周期实践，注重怎么在整个信息系统的开发进程中，从需求剖析、规划、编码、测验到布置和维护，都融入安全性的考虑。

　　首要，安排需求拟定一个清晰的战略，界说在整个信息系统开发生命周期中怎么进行安全办理。此战略应包含对安全需求的辨认、安全规划准则、安全编码实践、安全测验以及在布置和维护进程中怎么进行安全办理的攻略。

　　在系统需求剖析阶段，要辨认和清晰安全需求。这或许包含对数据的维护、对系统拜访的操控，以及怎么防止和应对安全事情等。

　　在规划和编码阶段，需求保证安全需求被归入系统规划中，并遵从安全编码实践，例如防止常见的安全缝隙（如注入进犯、跨站脚本进犯等）。

　　在测验阶段，除了测验功用性需求外，还需求测验安全需求是否得到满意。这或许包含对系统的浸透测验、歹意软件扫描等。

　　在布置和维护阶段，需求保证系统的安全性。例如，需求操控对出产环境的拜访，定时对系统进行安全审计，并定时更新和补丁办理。

　　对职工进行训练，保证职工有满意的安全常识和技能，可以进步整个生命周期的安全性。例如，开发人员需求了解怎么防止常见的安全缝隙，测验人员需求知道怎么进行安全测验，运维人员需求知道怎么维护出产环境的安全。

　　构建信息安全办理系统并取得ISO 27001认证可以为安排带来多方面的好处：

　　进步信息安全防护：在建造信息安全办理系统的进程中，可以帮忙安排辨认和办理信息安全危险，进步信息安全防御才能，削减安全事故发生的或许性。增强信赖度：取得ISO 27001认证，代表安排现已到达了世界信息安全办理的规范，可以添加客户、合作伙伴以及其他利益相关者对安排的信赖度。合规性：信息安全办理系统可以帮忙安排满意法规、职业规则以及合同中的信息安全要求，防止因为违背这些要求而发生的法令责任和经济丢掉。进步功率：经过整合和优化信息安全操控办法，信息安全办理系统可以进步安排的运作功率。维护事务连续性：经过防备和应对信息安全事情，信息安全办理系统可以维护安排的事务连续性，削减因为信息安全事情导致的事务中止。促进事务增加：关于那些视信息安全为重要考量要素的客户，安排的信息安全办理才能或许会成为客户挑选安排作为合作伙伴的一个重要要素。职工教育与认识进步：经过信息安全办理系统的施行，可以进步职工的信息安全认识和技能，使他们能更好地辨认和防备信息安全危险。利于应对未来应战：继续优化的信息安全办理系统可以帮忙安排应对新的技能、要挟和事务形式带来的应战。

　　信息安全办理系统的建造和认证进程是一项杂乱的使命，或许会遇到以下的难点和应战：

　　资源投入：信息安全办理系统的建造和认证需求投入很多的时刻、人力和财力资源。例如，需求训练职工、购买和施行安全操控办法，以及延聘咨询服务。安排文明和职工认识：假如安排的文明和职工的认识不注重信息安全，那么信息安全办理系统的施行或许会遇到阻力。要改动这种状况，或许需求进行很多的宣扬和教育作业。危险评价：辨认和评价信息安全危险是信息安全办理系统的要害进程，但这是一项杂乱的使命，需求专业的常识和技能。技能应战：施行某些安全操控办法或许需求在技能上进行一些调整，这或许会带来一些技能应战。合规性：满意一切相关的法规、职业规则以及合同要求或许会是一项应战。继续改善：信息安全办理系统的建造和认证不是一次性的使命，而是需求继续改善的进程。可是，许多安排在施行了开始的信息安全办理系统后，或许会发现保持和改善信息安全办理系统是一项应战。改动办理：安排的事务、技能和环境或许会发生改动，这或许会对信息安全办理系统形成影响。因而，安排需求有用的改动办理进程，以保证信息安全办理系统能习惯这些改动。

　　保证资源：信息安全办理系统的建造和认证需求在预算中预留出必要的资源，包含时刻、人力和财力。保证项意图成功施行需求取得高层办理的许诺和支撑，以及各部门的积极参与和合作。树立信息安全文明：树立一种文明，使一切职工都了解并承受信息安满是他们日常作业的一部分。经过供给定时的安全训练和教育，增强职工的安全认识。危险办理：安排应当树立一套全面的危险办理流程，包含危险辨认、评价、处理和监控。危险办理不应是一次性活动，而应当是继续的进程。技能支撑：在需求技能支撑的当地，考虑引进适宜的技能专家或咨询服务。他们可以帮忙安排挑选和施行恰当的安全操控办法。合规性考虑：需求在规划阶段就充沛考虑合规性要求，以保证安排的信息安全办理系统满意一切相关的法规、职业规则和合同要求。继续改善：安排需求树立一种继续改善的文明和流程，以保证信息安全办理系统能跟着安排和环境的改动而改善。改动办理：拟定有用的改动办理流程，保证安排的改动可以得到恰当的处理，而且信息安全办理系统可以习惯这些改动。内部和外部审计：定时进行内部和外部审计，以承认信息安全办理系统的有用性，并辨认出需求改善的当地。

　　项目内容：为银行ISO 27001信息安全办理系统供给距离剖析、危险评价、系统建造、系统落地及审理支撑等系列咨询服务，帮忙银行继续优化完善ISO 27001系统，进一步深化系统落地运用，将认证规模扩展至一切信息系统技能办理、软件开发测验、系统建造、运转维护和事务运营相关的信息安全办理活动，不断进步银行信息安全办理作业水平。

　　充沛承认项目规模和政策的根底上拟定项目具体施行方案，交给物清单。确认项目办理形式以及两边需求预备的材料。经过对搜集的银行相关材料的审理，并施行人员访谈和查询问卷，单个部分或许选用技能查看，以了解银行信息安全办理现状。

　　调研信息安全办理现状与新版ISO27001和ISO27002的距离；根据信息财物视角、事务流程视角辨认物理、网络、系统、运用、IT服务流程和人员危险，并选用恰当的危险评价办法评价或许存在的潜在危险。

　　树立契合ISO 27001规范办理系统；依照ISO 27002最新规范进行习惯性调整。包含办理流程的规划、流程文档的开发和评定、流程的布置及改善，以及系统文件的发布和训练等。

　　对优化后的系统进行试运转，以验证系统的适用性和有用性；合作银行施行系统有用性丈量、信息安全办理系统内审、办理评定，并辅导不契合项的整改。

　　经过内审方法对人、流程、东西的协作运转进行查看和审理，并对发现的问题及时进行整改，以优化改善，到达正式审理的要求。

　　合作认证安排完结ISO27001认证的各阶段的审理作业，并保证取得ISO27001证书。

　　在项目施行进程中，供给宣扬材料与训练，内容包含但不限于：ISO27001办理准则宣贯训练、ISO27001内审训练以及专业认证训练等增值服务。

　　项目内容：在公司现有信息安全办理系统的根底上，参阅ISO27001信息安全办理系统最佳实践，清晰集团与分支安排的责任鸿沟，树立契合公司当时事务开展的信息安全办理系统，并对数据安全办理系统进行专项建造。

　　经过材料搜集、现场访谈、问卷查询等方法，对公司当时的信息安全办理相关的安排结构、事务特征、准则规范、IT根底设施、日常办理、运转操作等内容进行查询，对照新版ISO27002中的操控要求、职业监管要求等进行距离剖析和危险评价。

　　根据公司事务开展战略、政策和需求，结合信息安全特色及危险评价成果，一起参阅规范、职业开展趋势及最佳实践，定位公司信息安全政策，安身信息安全办理，帮忙公司拟定未来两年信息安全规划。

　　经过完善现有的信息安全安排架构，清晰不同信息安全安排、不同人物的信息安全定位和责任以及相互联系，对信息安全危险进行操控办理。并在信息安全安排架构下，考虑数据安全安排架构规划的整合作业。

　　根据信息安全法规规范，在现有准则系统的根底上，充沛交融ISO 27001信息安全办理规范规范、等级维护相关要求，以总部、分支安排实践事务需求为根底，树立集团信息安全办理准则系统，完结准则文件的编写。

　　在项目施行进程中，供给宣扬材料与训练，内容包含但不限于：信息安全办理准则宣贯训练、信息安全认识训练、数据安全相关法令法规训练以及专业认证训练等增值服务。

　　张兵，谷安全国信息技能咨询合伙人，数据安全办理委员会专家，全国金融规范化技能委员会证券分技能委员会专家，《中小银行数据安全办理研讨陈述》、《数据防走漏产品选型攻略》陈述主编，20多年的信息安全、数据安全、个人信息维护、科技危险、网络安全规划、SOC办理系统等咨询及审计服务经历，取得CISA、CDPSE、CISP-DSG、ISO 27701等证书，了解银职业、保险业、证券业、电信互联网职业、医疗健康职业及大型央企的科技办理与危险应对办法，把握专业的数据安全建造办法论，并具有丰厚的项目实践经历。

　　李欣韦，谷安全国信息技能咨询司理，10多年的信息安全咨询和信息科技危险审计作业经历，取得CISA、CDPSE、CISP-DSG、ISO 27001、ISO 27701等证书，了解银职业、保险业、证券业、大型央企的科技办理危险与应对办法，对数据安全、个人信息维护、科技危险办理等范畴均有着较为深化的研讨，把握专业的数据安全建造办法论，并具有丰厚的项目实践经历。

　　北京谷安全国科技有限公司（GooAnn，简称谷安全国）建立于2007年1月，总部设在北京，在上海、深圳、广州、成都等多地设有办事处，建立16年来专心于信息安全与企业数字化危险的咨询、审计、训练、认识与研讨，致力于全面进步中国企业数字化危险办理才能，助力数字化转型开展。

　　谷安全国事务首要包含：谷安咨询、谷安审计、谷安训练、谷安认识、安全牛社区五大部分，谷安研讨对全线事务进行支撑，更多优质服务可登录谷安全国官网了解。