资讯中心
新版ISO/IEC27001问题集锦

新版ISO/IEC27001问题集锦

原创
2022-09-16
技术文章
作者: SGS知识与管理
访问次数: 1908
点赞: {{ Likes }}

ISO/IEC27002:2022已于2022年2月15日发布,为使ISO/IEC27001的附录A与ISO/IEC27002:2022一致,新版ISO/IEC27001预计在2022年10月对外公布。企业需了解相关内容以积极应对新版ISO/IEC27001的发布,SGS老师对关注度较高的话题进行了详细解答。

问题1:对于GDPR的自我声明中,一般会侧重ISO/IEC27001,而ISO/IEC27701是辅助性,这样的理解对吗?
众所周知,ISO/IEC27001是保护信息的保密性、完整性和可用性的。那么对于个人数据也是如此,使用ISO/IEC27001来保护个人数据不被泄露、不被破坏和可用是很好的。但是,个人数据保护不仅仅是防止个人数据被泄露和被破坏,还要关注个人数据处理的的原则问题和数据主体的权利等问题,例如个人数据处理的目的限制、最小化原则,数据主体的知情权、访问权等。为了满足个人数据处理原则和满足数据主体的权利等问题,ISO/IEC27001没有提供这方面的控制措施,而ISO/IEC27701提供了对应的控制措施。

问题2:新版ISO/IEC27001包含了隐私保护部分,那是否可以代替ISO/IEC27701标准呢?ISO/IEC27701还需要认证吗?
虽然ISO/IEC27001 FDIS 2022包含了3个隐私控制:信息删除,数据脱敏和数据防泄漏,但是还不足以代替ISO/IEC27701在个人信息保护方面的作用。ISO/IEC27701:2019标准在个人信息处理方面,针对个人信息控制者增加了31个控制项,针对个人信息处理者增加了18个控制项,这些增加的控制项都是为了安全地处理个人信息,确保个人信息的处理合规以及满足个人主体的权利。因此,ISO/IEC27001不能替代ISO/IEC27701,如果您有隐私保护的相关需求,建议通过ISO/IEC27701的认证。

问题3:已经培训了ISO/IEC27001:2013版的,2023年做认证还需要重新培训吗?
如果选择在2023年做ISO/IEC27001认证,并且当认证时ISO/IEC27001:2022版已经发布,企业认证有两个选择:认证ISO/IEC27001:2013版或者认证2022版。如果选择继续认证2013版,那么暂时可以不需要2022版的培训,但是在2022版标准发布后3年内要将2013版证书转换成2022版证书。如果选择认证2022版,那么需要考虑2022版的要求,例如更新信息安全风险评估和风险处置计划,更新适用性声明(SOA),更新政策和程序等等。

问题4:信息安全策略集要如何更新呢?
ISO/IEC27001 FDIS 2022中新增加了11个控制项,针对这个11个控制项,企业可考虑是否需要增加新的策略,如需增加,在现有策略集中加入新的策略,如不需增加,保持现有的策略集即可。

问题5:新版ISO/IEC27001审查风险评价和处置计划方法上有变化,那也就资产识别和风险评价方法会有变化吗?
新版ISO/IEC27001风险评估和风险处置的方法没有变化,只是在进行信息安全风险处置时可选的控制措施有变化,所以企业现在使用的信息安全风险评估方法基本不受影响。

本文著作权归SGS所有,商业转载请联系获得正式授权,非商业请注明出处

需要更多信息?

我们最快2小时内联系您

手机号码 电子邮箱

*推荐填写手机号,自动注册会员,在线查看咨询进度

立即咨询
我已阅读并同意 隐私政策

发送成功

您的咨询信息已收到,我们将尽快与您联系!

用户账号:{{ form.phone }}

已为您注册SGS在线商城会员
可用手机号码快捷登录

到“我的咨询”查看咨询进度

{{countdownTime}}秒后自动跳转

扫码关注SGS官方微信公众号, 回复“0”赢惊喜礼品!

已发送到手机号:+86 {{ form.phone }}
{{ seconds }} 秒后再次发送
发送验证码
确认 取消

意见反馈

对SGS服务不满意吗?请告诉我们 *

联系方式 *