ISO/IEC 27001：2022改版內容差異

壹.  控制類別變更

可以得知控制類別的數量由14類整合成4大類。

27001/2013

A.5資訊安全政策 A.6 資訊安全的組織 A.7人力資源安全 A.8資產管理

A.9存取控制 A.10 密碼 A.11 實體與環境安全 A.12 作業的安全 A.13通訊安全

A.14 資訊系統獲取、開發及維護 A.15 供應商關係 A.16資訊安全事故管理

A.17 營運持續管理的資訊安全層面 A.18 遵循性

27001:2022

5組織控制 6人員控制 7實體控制 8技術控制

貳.   控制項目數量

原2013，114個控制項目/ 2022調整成93個控制項目

參.   ISO/IEC 27001：2022新增控制項

11個新增控制項分別如下。新增的控制項目對舊的ISO/IEC ISO27001：2013管理系統用戶要重新瞭解並提早準備轉版的因應作法。

1.威脅情報 2.雲服務的資訊安全 3. ICT為業務連續性做好準備

4. 實體安全監控 5. 組態管理 6.資訊資料刪除

7.資訊資料屏蔽 8.預防資訊洩漏 9.監控活動

10. 網頁過濾 11. 安全程式編碼

肆.   差異性

從ISO/IEC 27001：2013-> ISO/IEC 27001：2022

英文翻譯就有很大的差異，

原 Information technology-Security technique-資訊技術-安全技術

改 Information security,cybersecurity and privacy protection-資訊安全-網路安全與隱私保護．

較符合現代的個資與資安議題重視，對於ISO/IEC 27001：2022隱私保護可說是很重要的一塊，我們可以從新增控制項其中的數據洩漏預防做個切入點討論，在臺灣個資法的出現，對於資料外洩防護 (Data loss prevention,DLP)有了很大的重視，此次IOS/IEC 27001：2022的導入，就必須在此塊提出相對應的作法，此篇提出幾項未來企業單位導入可行的一些作法，以便符合新版控制項的要求。

伍.   DLP(Data loss prevention,DLP)

常見到的DLP從三大面向推出解決方案，

1.端點（Endpoint）常見的就是透過防毒軟體整合模組達成，

2.網路（Network）常見的透過設備部署於骨幹網路，用來查看網路封包是否夾帶機敏資訊等，

3.最後就是資料庫與郵件防護伺服器，利用安裝模組來達到資料庫與郵件的DLP防護，這次ISO/IEC 27001：2022改版，企業可提早規劃部屬適當的DLP工具，進而符合ISO規範要求。

陸.   緩衝期

ISO/IEC 27001：2013-> ISO/IEC 27001：2022可說是十年磨一劍，慢工出細活產出這套管理系統，整合現行資安要求，可說是跟上現代的腳步，大步邁前，導入目前ISO/IEC 27001：2013的產業也可提早準備改版因應措施，到2025年前有三年的轉版緩衝期，科技的發展，時代的進步，透過資訊安全，網路安全與隱私保護管理系統，提高人們資安素養與資訊靈敏度，進而達到資訊安全的光輝年代。

Line@ISO27001顧問諮詢：@554jyjna

Ashley.

--------------------------------------------------------

以上資料參考來源：國立台灣大學計資中心電子報https://www.cc.ntu.edu.tw/chinese/epaper/home/20230320_006407.html