ISO/IEC 27001:2022改版內容差異

更新於 發佈於 閱讀時間約 3 分鐘

壹.  控制類別變更

可以得知控制類別的數量由14類整合成4大類。

27001/2013

A.5資訊安全政策 A.6 資訊安全的組織 A.7人力資源安全 A.8資產管理

A.9存取控制 A.10 密碼 A.11 實體與環境安全 A.12 作業的安全 A.13通訊安全

A.14 資訊系統獲取、開發及維護 A.15 供應商關係 A.16資訊安全事故管理

A.17 營運持續管理的資訊安全層面 A.18 遵循性

27001:2022

5組織控制 6人員控制 7實體控制 8技術控制


貳.   控制項目數量

原2013,114個控制項目/ 2022調整成93個控制項目


參.   ISO/IEC 27001:2022新增控制項

11個新增控制項分別如下。新增的控制項目對舊的ISO/IEC ISO27001:2013管理系統用戶要重新瞭解並提早準備轉版的因應作法。

1.威脅情報 2.雲服務的資訊安全 3. ICT為業務連續性做好準備

4. 實體安全監控 5. 組態管理 6.資訊資料刪除

7.資訊資料屏蔽 8.預防資訊洩漏 9.監控活動

10. 網頁過濾 11. 安全程式編碼

肆.   差異性

從ISO/IEC 27001:2013-> ISO/IEC 27001:2022

英文翻譯就有很大的差異,

原 Information technology-Security technique-資訊技術-安全技術

改 Information security,cybersecurity and privacy protection-資訊安全-網路安全與隱私保護.

較符合現代的個資與資安議題重視,對於ISO/IEC 27001:2022隱私保護可說是很重要的一塊,我們可以從新增控制項其中的數據洩漏預防做個切入點討論,在臺灣個資法的出現,對於資料外洩防護 (Data loss prevention,DLP)有了很大的重視,此次IOS/IEC 27001:2022的導入,就必須在此塊提出相對應的作法,此篇提出幾項未來企業單位導入可行的一些作法,以便符合新版控制項的要求。

伍.   DLP(Data loss prevention,DLP)

常見到的DLP從三大面向推出解決方案,

1.端點(Endpoint)常見的就是透過防毒軟體整合模組達成,

2.網路(Network)常見的透過設備部署於骨幹網路,用來查看網路封包是否夾帶機敏資訊等,

3.最後就是資料庫與郵件防護伺服器,利用安裝模組來達到資料庫與郵件的DLP防護,這次ISO/IEC 27001:2022改版,企業可提早規劃部屬適當的DLP工具,進而符合ISO規範要求。

 

陸.   緩衝期

ISO/IEC 27001:2013-> ISO/IEC 27001:2022可說是十年磨一劍,慢工出細活產出這套管理系統,整合現行資安要求,可說是跟上現代的腳步,大步邁前,導入目前ISO/IEC 27001:2013的產業也可提早準備改版因應措施,到2025年前有三年的轉版緩衝期,科技的發展,時代的進步,透過資訊安全,網路安全與隱私保護管理系統,提高人們資安素養與資訊靈敏度,進而達到資訊安全的光輝年代。



Line@ISO27001顧問諮詢:@554jyjna

Ashley.

--------------------------------------------------------

以上資料參考來源:國立台灣大學計資中心電子報https://www.cc.ntu.edu.tw/chinese/epaper/home/20230320_006407.html



留言0
查看全部
avatar-img
發表第一個留言支持創作者!
你可能也想看
Google News 追蹤
Thumbnail
現代社會跟以前不同了,人人都有一支手機,只要打開就可以獲得各種資訊。過去想要辦卡或是開戶就要跑一趟銀行,然而如今科技快速發展之下,金融App無聲無息地進到你生活中。但同樣的,每一家銀行都有自己的App時,我們又該如何選擇呢?(本文係由國泰世華銀行邀約) 今天我會用不同角度帶大家看這款國泰世華CUB
Thumbnail
嘿,大家新年快樂~ 新年大家都在做什麼呢? 跨年夜的我趕工製作某個外包設計案,在工作告一段落時趕上倒數。 然後和兩個小孩過了一個忙亂的元旦。在深夜時刻,看到朋友傳來的解籤網站,興致勃勃熬夜體驗了一下,覺得非常好玩,或許有人玩過了,但還是想寫上來分享紀錄一下~
CNS 27002:2023提供了資訊安全管理的重要指引,特別在台灣中小企業中,其人員控制措施的落實顯得尤為關鍵。從ISO 27001主導稽核員的觀點,審視CNS 27002:2023不僅能增進稽核的實務性,更能從國際與本地的資安專業角度協助組織強化內部管理。本文透過MIS領域的研究成果,探討國際與
在現今數位時代,網路安全已成為企業和個人必須面對的首要挑戰。隨著網路犯罪活動的日益猖獗,如何有效地保護敏感資訊並確保網絡環境的安全,成為每個組織和個人不可忽視的重要課題。本文將帶你了解如何利用先進的監控軟體來提升資訊安全,為您提供全面的解決方案。
NIST資訊安全框架(NIST Cybersecurity Framework)是美國國家標準與技術研究所(National Institute of Standards and Technology)所提出的一套資訊安全架構標準......
在當今的數位化時代,企業越來越依賴資訊技術系統來開展業務。隨著對資訊技術系統的依賴程度越來越高,企業必須確保其資料的安全性和完整性。ISO 27001 標準是一項中立和全球通用的標準,旨在為資訊安全管理系統提供了一個框架,隨着時代發現,ISO27001已更新至2022版本,以應對數字環境中不斷變化的
砍掉重練…。不知道什麼時候起這四個字成了資訊人員的工作原則之一,但是,只要系統修改的時間超出一定範圍,砍掉重練的時間成本絕對低於原系統修改。 可是在基礎建設的部份呢? 例如伺服器、網路設備方面呢? 其實,砍掉重練也是常有的事,尤其虛擬化後,Server要砍掉重練更是輕而舉。
Thumbnail
政府、法令是資訊安全的最後防線,本文從政府及法律層面探討網路安全議題,以及資通安全管理法和個資法的重要性。政府擴大進用資安人才,以及執行資通安全管理法、個資法的相關規定,對維護數位平臺安全有著重要作用。除此之外,文章還強調了民眾的資安素養及企業、政府的連手防禦對抗駭客組織及詐騙集團的重要性。
Thumbnail
近期,我們可以從媒體上看到兩起資安事件分別在KKday和京鼎公司發生,前者是被前員工從內部搞鬼而被竊密,後者是被外部駭客攻破防線而受到勒索。 除了資安防護的重要性可見一般,還凸顯企業在資安防護上必須要有全方位的準備。更建議從法遵的角度,對於資安風險管理進行積極且全面地落實,以提升自身資安防護環境。
Thumbnail
隨着網絡攻擊和資料外洩的種類越來越多,防御方案的部署也要與時並進。近年,很多企業開始留意和測試部署使用者和實體行為分析(UEBA)的可行性。 在資訊保安工作上,內部人員被駭或者內部人員出現錯誤的行為導致企業暴露於風險之中......
Thumbnail
為了因應2025年ISO27001從2013轉到2022版本,需進行轉版受訓課程。這個課程是提供已經取得ISO27001:2013主導稽核員證書者,所提供的轉版訓練,有提供新舊版本差異的說明,更重要的是可以取得轉版證書。
資訊保安對於企業的資訊科技部門是越來越重要,有很多企業己經開始將資訊保安從日常的資訊科技拆分,以避免資訊科技部門因日常繁重的技術支援無法同時兼顧資訊保安的應對。 而資訊保安和IT審計是密不可分的。如果說資訊保安是日常的防御工事,那IT審計就是比起防御更能預先部署的可預視的一環。 過往IT審計可能
Thumbnail
現代社會跟以前不同了,人人都有一支手機,只要打開就可以獲得各種資訊。過去想要辦卡或是開戶就要跑一趟銀行,然而如今科技快速發展之下,金融App無聲無息地進到你生活中。但同樣的,每一家銀行都有自己的App時,我們又該如何選擇呢?(本文係由國泰世華銀行邀約) 今天我會用不同角度帶大家看這款國泰世華CUB
Thumbnail
嘿,大家新年快樂~ 新年大家都在做什麼呢? 跨年夜的我趕工製作某個外包設計案,在工作告一段落時趕上倒數。 然後和兩個小孩過了一個忙亂的元旦。在深夜時刻,看到朋友傳來的解籤網站,興致勃勃熬夜體驗了一下,覺得非常好玩,或許有人玩過了,但還是想寫上來分享紀錄一下~
CNS 27002:2023提供了資訊安全管理的重要指引,特別在台灣中小企業中,其人員控制措施的落實顯得尤為關鍵。從ISO 27001主導稽核員的觀點,審視CNS 27002:2023不僅能增進稽核的實務性,更能從國際與本地的資安專業角度協助組織強化內部管理。本文透過MIS領域的研究成果,探討國際與
在現今數位時代,網路安全已成為企業和個人必須面對的首要挑戰。隨著網路犯罪活動的日益猖獗,如何有效地保護敏感資訊並確保網絡環境的安全,成為每個組織和個人不可忽視的重要課題。本文將帶你了解如何利用先進的監控軟體來提升資訊安全,為您提供全面的解決方案。
NIST資訊安全框架(NIST Cybersecurity Framework)是美國國家標準與技術研究所(National Institute of Standards and Technology)所提出的一套資訊安全架構標準......
在當今的數位化時代,企業越來越依賴資訊技術系統來開展業務。隨著對資訊技術系統的依賴程度越來越高,企業必須確保其資料的安全性和完整性。ISO 27001 標準是一項中立和全球通用的標準,旨在為資訊安全管理系統提供了一個框架,隨着時代發現,ISO27001已更新至2022版本,以應對數字環境中不斷變化的
砍掉重練…。不知道什麼時候起這四個字成了資訊人員的工作原則之一,但是,只要系統修改的時間超出一定範圍,砍掉重練的時間成本絕對低於原系統修改。 可是在基礎建設的部份呢? 例如伺服器、網路設備方面呢? 其實,砍掉重練也是常有的事,尤其虛擬化後,Server要砍掉重練更是輕而舉。
Thumbnail
政府、法令是資訊安全的最後防線,本文從政府及法律層面探討網路安全議題,以及資通安全管理法和個資法的重要性。政府擴大進用資安人才,以及執行資通安全管理法、個資法的相關規定,對維護數位平臺安全有著重要作用。除此之外,文章還強調了民眾的資安素養及企業、政府的連手防禦對抗駭客組織及詐騙集團的重要性。
Thumbnail
近期,我們可以從媒體上看到兩起資安事件分別在KKday和京鼎公司發生,前者是被前員工從內部搞鬼而被竊密,後者是被外部駭客攻破防線而受到勒索。 除了資安防護的重要性可見一般,還凸顯企業在資安防護上必須要有全方位的準備。更建議從法遵的角度,對於資安風險管理進行積極且全面地落實,以提升自身資安防護環境。
Thumbnail
隨着網絡攻擊和資料外洩的種類越來越多,防御方案的部署也要與時並進。近年,很多企業開始留意和測試部署使用者和實體行為分析(UEBA)的可行性。 在資訊保安工作上,內部人員被駭或者內部人員出現錯誤的行為導致企業暴露於風險之中......
Thumbnail
為了因應2025年ISO27001從2013轉到2022版本,需進行轉版受訓課程。這個課程是提供已經取得ISO27001:2013主導稽核員證書者,所提供的轉版訓練,有提供新舊版本差異的說明,更重要的是可以取得轉版證書。
資訊保安對於企業的資訊科技部門是越來越重要,有很多企業己經開始將資訊保安從日常的資訊科技拆分,以避免資訊科技部門因日常繁重的技術支援無法同時兼顧資訊保安的應對。 而資訊保安和IT審計是密不可分的。如果說資訊保安是日常的防御工事,那IT審計就是比起防御更能預先部署的可預視的一環。 過往IT審計可能