ISO/IEC 27001:2022改版內容差異

更新於 發佈於 閱讀時間約 3 分鐘

壹.  控制類別變更

可以得知控制類別的數量由14類整合成4大類。

27001/2013

A.5資訊安全政策 A.6 資訊安全的組織 A.7人力資源安全 A.8資產管理

A.9存取控制 A.10 密碼 A.11 實體與環境安全 A.12 作業的安全 A.13通訊安全

A.14 資訊系統獲取、開發及維護 A.15 供應商關係 A.16資訊安全事故管理

A.17 營運持續管理的資訊安全層面 A.18 遵循性

27001:2022

5組織控制 6人員控制 7實體控制 8技術控制


貳.   控制項目數量

原2013,114個控制項目/ 2022調整成93個控制項目


參.   ISO/IEC 27001:2022新增控制項

11個新增控制項分別如下。新增的控制項目對舊的ISO/IEC ISO27001:2013管理系統用戶要重新瞭解並提早準備轉版的因應作法。

1.威脅情報 2.雲服務的資訊安全 3. ICT為業務連續性做好準備

4. 實體安全監控 5. 組態管理 6.資訊資料刪除

7.資訊資料屏蔽 8.預防資訊洩漏 9.監控活動

10. 網頁過濾 11. 安全程式編碼

肆.   差異性

從ISO/IEC 27001:2013-> ISO/IEC 27001:2022

英文翻譯就有很大的差異,

原 Information technology-Security technique-資訊技術-安全技術

改 Information security,cybersecurity and privacy protection-資訊安全-網路安全與隱私保護.

較符合現代的個資與資安議題重視,對於ISO/IEC 27001:2022隱私保護可說是很重要的一塊,我們可以從新增控制項其中的數據洩漏預防做個切入點討論,在臺灣個資法的出現,對於資料外洩防護 (Data loss prevention,DLP)有了很大的重視,此次IOS/IEC 27001:2022的導入,就必須在此塊提出相對應的作法,此篇提出幾項未來企業單位導入可行的一些作法,以便符合新版控制項的要求。

伍.   DLP(Data loss prevention,DLP)

常見到的DLP從三大面向推出解決方案,

1.端點(Endpoint)常見的就是透過防毒軟體整合模組達成,

2.網路(Network)常見的透過設備部署於骨幹網路,用來查看網路封包是否夾帶機敏資訊等,

3.最後就是資料庫與郵件防護伺服器,利用安裝模組來達到資料庫與郵件的DLP防護,這次ISO/IEC 27001:2022改版,企業可提早規劃部屬適當的DLP工具,進而符合ISO規範要求。

 

陸.   緩衝期

ISO/IEC 27001:2013-> ISO/IEC 27001:2022可說是十年磨一劍,慢工出細活產出這套管理系統,整合現行資安要求,可說是跟上現代的腳步,大步邁前,導入目前ISO/IEC 27001:2013的產業也可提早準備改版因應措施,到2025年前有三年的轉版緩衝期,科技的發展,時代的進步,透過資訊安全,網路安全與隱私保護管理系統,提高人們資安素養與資訊靈敏度,進而達到資訊安全的光輝年代。



Line@ISO27001顧問諮詢:@554jyjna

Ashley.

--------------------------------------------------------

以上資料參考來源:國立台灣大學計資中心電子報https://www.cc.ntu.edu.tw/chinese/epaper/home/20230320_006407.html



留言
avatar-img
留言分享你的想法!
ISO27001LA 小社畜-avatar-img
發文者
2023/07/29
看影片了解ISO/IEC 27001:2022 相關變化提及了這篇文章,趕快過去看看吧!
avatar-img
ISO27001LA 小社畜的沙龍
3會員
4內容數
2023/08/10
2021年最不安全密碼排名
Thumbnail
2023/08/10
2021年最不安全密碼排名
Thumbnail
2023/08/08
如企業已導入ISO/IEC 27001:2013版本可沿到2025年。 ISO/IEC 27001:2017 是資訊安全管理系統標準。 在於指定個別組織內部實施安全控制的要求。 同時也涵蓋物理控制與資訊技術安全問題。 ISO 27001 版本2013&2017差異 2013 年和 2
2023/08/08
如企業已導入ISO/IEC 27001:2013版本可沿到2025年。 ISO/IEC 27001:2017 是資訊安全管理系統標準。 在於指定個別組織內部實施安全控制的要求。 同時也涵蓋物理控制與資訊技術安全問題。 ISO 27001 版本2013&2017差異 2013 年和 2
2023/07/29
影片連結:https://www.youtube.com/watch?v=ZiVPyoVIDmw ISO 27001 要求的變更 將文中的「國際標準」改為「文件」 部分英文重新調整,以利於翻譯 為符合新的 ISO 調和結構的更動: 編號結構微調 要求定義實施資訊安全管理系統(ISM
2023/07/29
影片連結:https://www.youtube.com/watch?v=ZiVPyoVIDmw ISO 27001 要求的變更 將文中的「國際標準」改為「文件」 部分英文重新調整,以利於翻譯 為符合新的 ISO 調和結構的更動: 編號結構微調 要求定義實施資訊安全管理系統(ISM
看更多
你可能也想看
Thumbnail
「欸!這是在哪裡買的?求連結 🥺」 誰叫你太有品味,一發就讓大家跟著剁手手? 讓你回購再回購的生活好物,是時候該介紹出場了吧! 「開箱你的美好生活」現正召喚各路好物的開箱使者 🤩
Thumbnail
「欸!這是在哪裡買的?求連結 🥺」 誰叫你太有品味,一發就讓大家跟著剁手手? 讓你回購再回購的生活好物,是時候該介紹出場了吧! 「開箱你的美好生活」現正召喚各路好物的開箱使者 🤩
Thumbnail
介紹朋友新開的蝦皮選物店『10樓2選物店』,並分享方格子與蝦皮合作的分潤計畫,註冊流程簡單,0成本、無綁約,推薦給想增加收入的讀者。
Thumbnail
介紹朋友新開的蝦皮選物店『10樓2選物店』,並分享方格子與蝦皮合作的分潤計畫,註冊流程簡單,0成本、無綁約,推薦給想增加收入的讀者。
Thumbnail
當你邊吃粽子邊看龍舟競賽直播的時候,可能會順道悼念一下2300多年前投江的屈原。但你知道端午節及其活動原先都與屈原毫無關係嗎?這是怎麼回事呢? 本文深入探討端午節設立初衷、粽子、龍舟競渡與屈原自沉四者。看完這篇文章,你就會對端午、粽子、龍舟和屈原的四角關係有新的認識喔。那就讓我們一起解開謎團吧!
Thumbnail
當你邊吃粽子邊看龍舟競賽直播的時候,可能會順道悼念一下2300多年前投江的屈原。但你知道端午節及其活動原先都與屈原毫無關係嗎?這是怎麼回事呢? 本文深入探討端午節設立初衷、粽子、龍舟競渡與屈原自沉四者。看完這篇文章,你就會對端午、粽子、龍舟和屈原的四角關係有新的認識喔。那就讓我們一起解開謎團吧!
Thumbnail
近年來AI技術快速發展,企業導入AI應用也日益普遍,但伴隨而來的資安風險不容忽視。本文探討如何利用CNS 27001:2023強化AI應用的資安管理,涵蓋雲端安全管理、AI數據隱私保護以及防止提示注入攻擊等面向,協助企業在AI時代建立完善的資安防禦機制,降低資安風險。
Thumbnail
近年來AI技術快速發展,企業導入AI應用也日益普遍,但伴隨而來的資安風險不容忽視。本文探討如何利用CNS 27001:2023強化AI應用的資安管理,涵蓋雲端安全管理、AI數據隱私保護以及防止提示注入攻擊等面向,協助企業在AI時代建立完善的資安防禦機制,降低資安風險。
Thumbnail
隨着網絡攻擊和資料外洩的種類越來越多,防御方案的部署也要與時並進。近年,很多企業開始留意和測試部署使用者和實體行為分析(UEBA)的可行性。 在資訊保安工作上,內部人員被駭或者內部人員出現錯誤的行為導致企業暴露於風險之中......
Thumbnail
隨着網絡攻擊和資料外洩的種類越來越多,防御方案的部署也要與時並進。近年,很多企業開始留意和測試部署使用者和實體行為分析(UEBA)的可行性。 在資訊保安工作上,內部人員被駭或者內部人員出現錯誤的行為導致企業暴露於風險之中......
Thumbnail
為了因應2025年ISO27001從2013轉到2022版本,需進行轉版受訓課程。這個課程是提供已經取得ISO27001:2013主導稽核員證書者,所提供的轉版訓練,有提供新舊版本差異的說明,更重要的是可以取得轉版證書。
Thumbnail
為了因應2025年ISO27001從2013轉到2022版本,需進行轉版受訓課程。這個課程是提供已經取得ISO27001:2013主導稽核員證書者,所提供的轉版訓練,有提供新舊版本差異的說明,更重要的是可以取得轉版證書。
Thumbnail
探索台灣資通安全管理法對企業和政府的影響,以及實施ISO 27001的好處。digiLogs提供一站式的日誌管理,支援各種日誌來源和格式,並提供實時異常警報,有助於滿足ISO 27001合規性要求,提高安全性和效率。
Thumbnail
探索台灣資通安全管理法對企業和政府的影響,以及實施ISO 27001的好處。digiLogs提供一站式的日誌管理,支援各種日誌來源和格式,並提供實時異常警報,有助於滿足ISO 27001合規性要求,提高安全性和效率。
Thumbnail
隨著臺灣金融科技技術愈發進步,許多資安風險也隨之而來。為了因應資安威脅與加強金融資安監理,於2020 年便開始推動金融資安行動方案1.0,並於今年發佈了升級版2.0 的行動方案。究竟金融資安行動方案會如何增進機構的資安防護、又會用什麼方式強化機構間資安防護網的連結呢?讓馬克帶大家一起瞭解吧!
Thumbnail
隨著臺灣金融科技技術愈發進步,許多資安風險也隨之而來。為了因應資安威脅與加強金融資安監理,於2020 年便開始推動金融資安行動方案1.0,並於今年發佈了升級版2.0 的行動方案。究竟金融資安行動方案會如何增進機構的資安防護、又會用什麼方式強化機構間資安防護網的連結呢?讓馬克帶大家一起瞭解吧!
Thumbnail
除了電腦與網路技術方面的人才,完整的資安架構還必須包含資安法遵師。我甚至認為,多數企業對於資安法遵的需求,高於資安技術。企業面對資安威脅,必須採取風險控管的角度,將實際的防禦技術工作外包給專門的資安公司進行,企業內部僅需評估與控制風險。而控制風險正是法遵的核心職能。期待法律人才能一同為資安盡一份力。
Thumbnail
除了電腦與網路技術方面的人才,完整的資安架構還必須包含資安法遵師。我甚至認為,多數企業對於資安法遵的需求,高於資安技術。企業面對資安威脅,必須採取風險控管的角度,將實際的防禦技術工作外包給專門的資安公司進行,企業內部僅需評估與控制風險。而控制風險正是法遵的核心職能。期待法律人才能一同為資安盡一份力。
Thumbnail
資通安全階層架構如同金字塔的三層,由上而下依序是:政策管理安全(法令、規範)、系統與應用安全(程式、網路、資料庫、雲端、軟硬體)、基礎安全(密碼學演算法,包括數位簽章、雜湊函數)。所以首當其衝必須了解何謂「資通」?其相關管理安全的法令政策為何?才能得到較保障的資通安全。
Thumbnail
資通安全階層架構如同金字塔的三層,由上而下依序是:政策管理安全(法令、規範)、系統與應用安全(程式、網路、資料庫、雲端、軟硬體)、基礎安全(密碼學演算法,包括數位簽章、雜湊函數)。所以首當其衝必須了解何謂「資通」?其相關管理安全的法令政策為何?才能得到較保障的資通安全。
Thumbnail
面對與日俱增的網絡安全,因此企業須具備有效而穩定的網絡安全解決方案(Cybersecurity solutions)。 而言各地區或國家都有一定的標準和指引,中國也不例外。為確保企業在內地市場符合法規地擴張和發展,因此推出《中國網路安全法》網絡安全等級保護 2.0。
Thumbnail
面對與日俱增的網絡安全,因此企業須具備有效而穩定的網絡安全解決方案(Cybersecurity solutions)。 而言各地區或國家都有一定的標準和指引,中國也不例外。為確保企業在內地市場符合法規地擴張和發展,因此推出《中國網路安全法》網絡安全等級保護 2.0。
Thumbnail
如今數據化的時代,許多資訊透過網路傳輸,當這些資訊涉及組織機密、個人隱私,如果不慎外洩,恐怕會造成不小的損害,因此「資訊安全」成了當代組織關心的一大要點,從私人企業到公部門,紛紛致力於通過ISO27001國際驗證,以落實組織內外的資訊安全。 ISO27001是什麼? 資訊安全的3大安全要素
Thumbnail
如今數據化的時代,許多資訊透過網路傳輸,當這些資訊涉及組織機密、個人隱私,如果不慎外洩,恐怕會造成不小的損害,因此「資訊安全」成了當代組織關心的一大要點,從私人企業到公部門,紛紛致力於通過ISO27001國際驗證,以落實組織內外的資訊安全。 ISO27001是什麼? 資訊安全的3大安全要素
追蹤感興趣的內容從 Google News 追蹤更多 vocus 的最新精選內容追蹤 Google News