ISO27001 标准培训 正文部分.pptxVIP

ISO/IEC27001:2022 标准培训标准正文 宗金春关于ISO/IEC27001:2022ISO27001术语定义21ISO27001正文结构34ISO27001的P-D-C-A1关于ISO/IEC27001景与发展Background & Growth英国工业贸易部 制定认证标准 BS7799:212月BS7799-1:1999成为国际 标准ISO17799:200020131995199820052005年10月BS-7799-2:2002通过国际ISO组织认可，正式成为国际标准ISO27001:2005ISO17799：2000修订成为 ISO27002：2005英国工业贸易部于 1995年首次出版 BS 7799-1：1995《信息安全管理实施细则》，修订BS7799-1：1999 BS7799-2：1999ISO/IEC27000 系列标准序号标准编号最新版本标准名称1ISO/IEC 270002018信息技术 安全技术 信息安全管理体系 概述和词汇2ISO/IEC 270012022信息安全，网络安全和隐私保护 信息安全管理体系要求3ISO/IEC 270022022信息安全，网络安全和隐私保护 信息安全控制4ISO/IEC 270032017信息技术 安全技术 信息安全管理体系指南5ISO/IEC 270042016信息技术 安全技术 信息安全管理 监视，测量，分析和评价6ISO/IEC 270052018信息安全，网络安全和隐私保护 信息安全风险管理指南ISO/IEC27001:2022 版本2022年10月25日正式发布实施ISO/IEC27001:2022 《信息安全 网络安全 隐私保护 信息安全管理体系 要求》标准已经于2022年10月25日正式发布，取消和替代了第二版（ISO/IEC 27001:2013）,即现行的GB/T22080-2016《信息技术 安全技术 信息安全管理体系 要求》ISO/IEC 27001:2022的变化点1 标题的变化ISO/IEC 27001:2022标题改为《信息安全、网络安全和隐私保护—信息安全管理体系—要求》，它与ISO/IEC 27002:2022的标题《信息安全、网络安全和隐私保护—信息安全控制》一致。 ISO/IEC 27001:2022的变化点2、条款编号的变化在ISO/IEC 27001:2022中引入了新的子条款6.3 变化的规划9.2.1 总则9.2.2 内部审核方案9.3.1 总则9.3.2 管理评审输入9.3.3 管理评审结果新的子条款的引入进一步协调了与其他管理体系标准的文件结构，如ISO9001:2015、ISO 22301:2019。ISO/IEC 27001:2022的变化点2、条款编号的变化两个子条款的顺序是互换的ISO/IEC 27001:2022ISO/IEC 27001:2013子条款子条款10.1持续改进10.1不符合及纠正措施10.2不符合及纠正措施10.2持续改进尽管如此，各分项中的要求没有变化。ISO/IEC 27001:2022的变化点3、在ISO/IEC 27001:2022中引入了新的文本条款新文本解读4.2了解相关方的需求和期望该组织应确定：a) 信息安全管理体系相关方b) 这些相关方与信息安全相关的要求c) 这些要求中的哪些将通过信息安全管理体系来解决明确与信息安全管理体系之间的关系ISO/IEC 27001:2022的变化点3、在ISO/IEC 27001:2022中引入了新的文本条款新文本解读4.4信息安全管理制度该组织应建立、实施、维护并持续改进信息安全管理体系。包括所需的过程和它们之间的相互作用。按照本标准的要求，建立、实现、维护和持续改进信息安全管理体系适当地引用了其他管理体系中的标准，例：ISO 9001:2015ISO 22301:2019ISO/IEC 27001:2022的变化点3、在ISO/IEC 27001:2022中引入了新的文本条款新文本解读6.2信息安全目标和实现这些目标的规划信息安全目标应：a) 与信息安全方针一致；b) 可测量（如可行）；c) 考虑适用的信息安全要求，以及风险评估和风险处置的结果；d) 被监视；e) 得到沟通；f) 适当时更新；g) 作为文件化信息提供。适当地引用了其他管理体系中的标准，例：ISO 9001:2015ISO 22301:20192、对信息安全目标进行制度化，促进信息安全目标的实现ISO/IEC 27001:2022的变化点3、在ISO/IEC 27001:2022中引入了新的文本条款新文本解读7.4沟通组织应确定与信息安全管理体系相关的内容和外部的沟通需求，包括：a) 沟通什么；b