27001-2022信息安全管理体系标准及主要变化培训教材.pdf

ISO IEC27001-2022信息安全 管理体系标准及主要变化培训 教材 2022年10月28日 课程内容 u第一部分 ISO27001-2022的主要变化 u第二部分 ISO27001-2022标准正文部分详解 ISO27001-2022标准附录A详解 第一部分 ISO27001-2022的主要变化 教学目标 uISO/IEC 27001:2022信息安全管理体系的主要变化 第一部分 ISO27001-2022的主要 变化 1. 附录A中列出的信息安全控制直接派生自 ISO/ IEC 27002:2022第 5 章至 8 章中所列的控制 并与之保持一致 ，并应与正文 6.1.3 结合使用 第一部分 ISO27001-2022的主要 变化 2. ISO/ IEC 27002的第3版 ：ISO/ IEC 27002:2022于今年 10月发布 ，取代了 2013 版。新版ISO/ IEC 27002:2022更 新了信息安全控制集 （包括指南 ），以反映企业和政府各 个部门的发展和当前信息安全实践。相较2013版 ，新版标 准更加的简化 （减少了21个控制措施 ）并增强了可用性。 第一部分 ISO27001-2022的主要 变化 针对ISO/ IEC 27001:2022标准的正文部分 ，主要是条款细 节的增补 ，以及语言描述的调整 ，包括 ： 1. 前言中针对变化的描述 ； 2. 在 4.2 中添加 c) ：这些要求中的哪些将通过信息安全管 理体系得到解决 ； 第一部分 ISO27001-2022的主要 变化 3. 在4.4中增加描述 ：组织应按照本文件的要求建立、实 施、维护和持续改进信息安全管理体系 ，包括所需的过程 及其相互作用 ； 4. 在5.1中添加注释 ：本文档中提及的 “业务”可以广义 地解释为那些对组织存在的目的至关重要的活动 ； 5. 明确了与新的附录 A 保持一致 ； 第一部分 ISO27001-2022的主要 变化 6. 6.2中增加 d) ：被监控 ；以及 g) 可作为文件化信息获 得 ； 7. 增加了新的 6.3变更计划 ：当组织确定需要对信息安全 管理体系进行变更时 ，应以策划的方式进行变更 ； 8. 7.4 沟通 ：从 2013 版中删除了 e) ； 第一部分 ISO27001-2022的主要 变化 9 8.1改写为 ：组织应策划、实施和控制满足要求所需的 过程 ，并通过以下方式实施第 6 章确定的措施 ： ◆ 为过程建立标准 ； ◆ 按照准则实施过程控制。 →文件化信息应在必要的范围内可用 ，以确保过程已按计 划进行。 →组织应控制计划的变更并评审非预期变更的后果 ，必要 时采取措施减轻任何不利影响。 →组织应确保与信息安全管理体系相关的外部提供的过程、 产品或服务受到控制。 第一部分 ISO27001-2022的主要 变化 10. 内部审计 ：在第 9.2.1 和 9.2.2 小节中重新组织和拆分 文本 ； 11. 9.3 管理评审 ：增加了新的条款 9.3.2 c) 与信息安全管 理体系相关的相关方需求和期望的变化 ，并在两个新的子 章节 9.3.1 和 9.3.2 下重新组织了描述 ； 12.10.1 和 10.2 的编号调整。 第一部分 ISO27001-2022的主要 变化 此外 ，新版信息安全管理体系标准2022年改版后的ISO/LEC27001有多处修改 ： 1 ）安全策略 2 ）信息安全的组织 3 ）资产管理 4 ）人力资源安全 5 ）物理和环境安全 6 ）通信和操作管理 7 ）访问控制 8 ）系统采集、开发和维护 9 ）信息安全事故管理 10 ）业务连续性管理 11 ）符合性 下面进入ISO27001-2022标准部分 课程内容 u第一部分 ISO27001-2022的主要变化 u第二部分 ISO27001-2022标准正文部分详解 ISO27001-2022标准附录A详解 ISO27001-2022 新版的内容 ◆前言 ◆ 引言 ◆1 范围 ◆2 规范性引用文件 ◆3 术语和定义 ◆4 组织环境 ◆5 领导 ◆6 规划 ◆7 支持