ISO27001LA 小社畜的沙龍

ISO/IEC 27001:2022改版內容差異

ISO27001LA 小社畜
ISO27001LA 小社畜
閱讀時間約 3 分鐘

壹.  控制類別變更

可以得知控制類別的數量由14類整合成4大類。

27001/2013

A.5資訊安全政策 A.6 資訊安全的組織 A.7人力資源安全 A.8資產管理

A.9存取控制 A.10 密碼 A.11 實體與環境安全 A.12 作業的安全 A.13通訊安全

A.14 資訊系統獲取、開發及維護 A.15 供應商關係 A.16資訊安全事故管理

A.17 營運持續管理的資訊安全層面 A.18 遵循性

27001:2022

5組織控制 6人員控制 7實體控制 8技術控制


貳.   控制項目數量

原2013,114個控制項目/ 2022調整成93個控制項目


參.   ISO/IEC 27001:2022新增控制項

11個新增控制項分別如下。新增的控制項目對舊的ISO/IEC ISO27001:2013管理系統用戶要重新瞭解並提早準備轉版的因應作法。

1.威脅情報 2.雲服務的資訊安全 3. ICT為業務連續性做好準備

4. 實體安全監控 5. 組態管理 6.資訊資料刪除

7.資訊資料屏蔽 8.預防資訊洩漏 9.監控活動

10. 網頁過濾 11. 安全程式編碼

肆.   差異性

從ISO/IEC 27001:2013-> ISO/IEC 27001:2022

英文翻譯就有很大的差異,

原 Information technology-Security technique-資訊技術-安全技術

改 Information security,cybersecurity and privacy protection-資訊安全-網路安全與隱私保護.

較符合現代的個資與資安議題重視,對於ISO/IEC 27001:2022隱私保護可說是很重要的一塊,我們可以從新增控制項其中的數據洩漏預防做個切入點討論,在臺灣個資法的出現,對於資料外洩防護 (Data loss prevention,DLP)有了很大的重視,此次IOS/IEC 27001:2022的導入,就必須在此塊提出相對應的作法,此篇提出幾項未來企業單位導入可行的一些作法,以便符合新版控制項的要求。

伍.   DLP(Data loss prevention,DLP)

常見到的DLP從三大面向推出解決方案,

1.端點(Endpoint)常見的就是透過防毒軟體整合模組達成,

2.網路(Network)常見的透過設備部署於骨幹網路,用來查看網路封包是否夾帶機敏資訊等,

3.最後就是資料庫與郵件防護伺服器,利用安裝模組來達到資料庫與郵件的DLP防護,這次ISO/IEC 27001:2022改版,企業可提早規劃部屬適當的DLP工具,進而符合ISO規範要求。

 

陸.   緩衝期

ISO/IEC 27001:2013-> ISO/IEC 27001:2022可說是十年磨一劍,慢工出細活產出這套管理系統,整合現行資安要求,可說是跟上現代的腳步,大步邁前,導入目前ISO/IEC 27001:2013的產業也可提早準備改版因應措施,到2025年前有三年的轉版緩衝期,科技的發展,時代的進步,透過資訊安全,網路安全與隱私保護管理系統,提高人們資安素養與資訊靈敏度,進而達到資訊安全的光輝年代。



Line@ISO27001顧問諮詢:@554jyjna

Ashley.

--------------------------------------------------------

以上資料參考來源:國立台灣大學計資中心電子報https://www.cc.ntu.edu.tw/chinese/epaper/home/20230320_006407.html



ISO27001LA 小社畜的沙龍
3會員
4Content count
留言0
查看全部
發表第一個留言支持創作者!
你可能也想看
avatar
美股韭菜王
2024/09/18
Thumbnail
Fed 9月會議:傳達「不想要落後給曲線」的正向信號,著手管理市場的衰退預期
重點摘要: 1.9 月降息 2 碼、進一步暗示年內還有 50 bp 降息 2.SEP 上修失業率預期,但快速的降息速率將有助失業率觸頂 3.未來幾個月經濟數據將繼續轉弱,經濟復甦的時點或是 1Q25 季底附近
#聯準會#Fed#降息
avatar
方格子 vocus 官方沙龍
2024/08/27
Thumbnail
「相簿裡最捨不得刪的 N 張照片!」:完成任務抽富士即可拍!
近期的「貼文發佈流程 & 版型大更新」功能大家使用了嗎? 新版式整體視覺上「更加凸顯圖片」,為了搭配這次的更新,我們推出首次貼文策展 ❤️ 使用貼文功能並完成這次的指定任務,還有機會獲得富士即可拍,讓你的美好回憶都可以用即可拍珍藏!
#相簿裡最捨不得刪的照片
avatar
若芽的沙龍
2022/05/09
Thumbnail
【ISO 45001系列】 績效評估的建議與做法
辛苦規劃跟執行的管制措施,如何能夠知道他的成效是否跟我們預想中的是相同的?那勢必就要靠績效評估。ISO 45001給了不少績效評估上面的注意事項,但對於如何進行績效評估,並沒有給予比較具體的建議流程。本文參考了CNS 14809的相關流程,配合ISO 45001對於績效評估的要求,形塑了相關的方法。
#ISO45001#職業安全衛生管理系統#雇主責任
avatar
若芽的沙龍
2022/04/21
Thumbnail
【ISO 45001系列】 規劃-風險與機會的評鑑
ISO 45001對於風險跟機會總共有4種排列組合,而且都是分開規範的。但其實改善職業安全管理系統的機會,某種程度而言是會跟降低職業安全衛生風險有關,所以這4種機會跟風險其實是息息相關且不可分割。本文試著透過一個系統化的流程,結合我國風險評估技術指引來架構整個評鑑風險和機會的流程。
#ISO45001#職業安全衛生管理系統#雇主責任
avatar
若芽的沙龍
2022/04/21
Thumbnail
【ISO 45001系列】 規劃-法規事項與其他事項的探求
法規事項跟其他事項的探求,如果單就ISO 45001的規範,往往很容易會讓組織迷失在眾多的法規裡面而顯得沒有什麼效率。本文藉由在危害鑑別時,就要求組織必須要針對職業安全衛生法規和組織特別適用的法規,去探討可能的危害,顯得更有效率,也更願意去執行。
#ISO45001#職業安全衛生法規#職業安全衛生管理系統
avatar
若芽的沙龍
2022/04/19
Thumbnail
【ISO 45001系列】 制度架構-溝通制度與文件化資訊的保存制度
有了上到下的教育訓練,自然少不了下到上或是水平單位、對外單位的溝通制度,本文提供了內部溝通方式的具體做法與建議。而做得這麼辛苦的管理系統,一定要把成果以及面臨到的問題保存下來,之後這些文件化的資訊肯定可以派上很大的用場,本文這邊也整理出來整個ISO 45001條文裡面有對應要求文件化資訊的內容。
#ISO45001#職業安全衛生管理系統#雇主責任
avatar
若芽的沙龍
2022/04/18
Thumbnail
【ISO 45001系列】 制度架構-教育訓練制度
ISO 45001希望組織內所有的工作者,從最高管理階層到非管理工作人員都能夠參與其中,因此ISO 45001要求組織必須確保工作者有一定的適任性,而相關的法規也有要求教育訓練制度。因此本文透過人力資源相關的參考文獻,試著建立職業安全衛生管理系統脈絡下的教育訓練制度。
#ISO45001#職業安全衛生法規#雇主責任
avatar
若芽的沙龍
2022/04/15
Thumbnail
【ISO 45001系列】 制度架構-組織的角色、責任與權責
ISO 45001作為一個非強制性的標準,在工作者、管理工作人員和最高管理階層的定義上,要如何跟我國一般組織與企業來做連接會是一個問題。本文試著就標準的權責規範以及我國法規規定綜合討論,來釐清這個部分遇到的障礙,並提供標準內各層級的權責實務上具體化的做法。
#ISO45001#職業安全衛生管理系統#雇主責任
avatar
若芽的沙龍
2022/04/14
Thumbnail
【ISO 45001系列】 制度架構-管理系統負責人員與單位建置
在執行管理系統之前,必須要先把制度先架起來才行!但是ISO 45001跟制度有關的條文其實散落在不同的章節之中常常讓人摸不著頭緒,本文將其整理過後,打破原本的系統規範架構獨立提出了「制度架構」這一個部分,來讓管理系統的落實變得比較按部就班且容易執行。
#職業安全衛生法規#雇主責任#職業安全衛生管理系統
avatar
若芽的沙龍
2022/04/13
Thumbnail
【ISO 45001系列】 管理系統的適用範圍決定與考量要素
ISO 45001標準對於組織是否要建立管理系統採自願性質並非強制,但其實對於是否應建立管理系統,除了需參照ISO 45001規範外還需參考我國職業安全衛生法規。而針對適用的空間範圍、主體的範圍也並非毫無限制,本文試著從我國現行法以及ISO 45001的規範,討論管理系統適用範圍的最低適法性要求。
#職業安全衛生管理系統#職業安全衛生法規#雇主責任
avatar
若芽的沙龍
2022/04/12
Thumbnail
【ISO 45001系列】 「組織前後環節」中的「組織內部議題」探求範圍與內容
除了外部議題的討論以外,組織的內部議題也往往非常的繁瑣而且複雜。ISO 45001條文之中雖然有在附錄列舉相關的內容,但組織很常在調查的時候因為沒有一個標準化流程,而導致可能會掛一漏萬。本文試著將內部議題的調查,針對不同組織規模將調查的流程標準化,並提供相關的表單做為參考。
#ISO45001#職業安全衛生管理系統#職業安全
avatar
若芽的沙龍
2022/04/11
Thumbnail
【ISO 45001系列】「外部利害相關者」與「組織外部議題」之範圍與界定方法
ISO 45001的條文規範為了想要盡量適用於各行各業,因此寫得稍微比較抽象,對於想要自行建構ISO 45001職業安全衛生管理系統的組織,會面臨到一大困境。本文先從條文中的「組織前後環節」的地方,針對外部議題利用外部利害關係人的角色,去具體化整個尋找外部議題的過程,給予相關的建議。
#ISO45001#職業安全衛生管理系統#雇主責任
avatar
美股韭菜王
2024/09/18
Thumbnail
Fed 9月會議:傳達「不想要落後給曲線」的正向信號,著手管理市場的衰退預期
重點摘要: 1.9 月降息 2 碼、進一步暗示年內還有 50 bp 降息 2.SEP 上修失業率預期,但快速的降息速率將有助失業率觸頂 3.未來幾個月經濟數據將繼續轉弱,經濟復甦的時點或是 1Q25 季底附近
#聯準會#Fed#降息
avatar
方格子 vocus 官方沙龍
2024/08/27
Thumbnail
「相簿裡最捨不得刪的 N 張照片!」:完成任務抽富士即可拍!
近期的「貼文發佈流程 & 版型大更新」功能大家使用了嗎? 新版式整體視覺上「更加凸顯圖片」,為了搭配這次的更新,我們推出首次貼文策展 ❤️ 使用貼文功能並完成這次的指定任務,還有機會獲得富士即可拍,讓你的美好回憶都可以用即可拍珍藏!
#相簿裡最捨不得刪的照片
avatar
若芽的沙龍
2022/05/09
Thumbnail
【ISO 45001系列】 績效評估的建議與做法
辛苦規劃跟執行的管制措施,如何能夠知道他的成效是否跟我們預想中的是相同的?那勢必就要靠績效評估。ISO 45001給了不少績效評估上面的注意事項,但對於如何進行績效評估,並沒有給予比較具體的建議流程。本文參考了CNS 14809的相關流程,配合ISO 45001對於績效評估的要求,形塑了相關的方法。
#ISO45001#職業安全衛生管理系統#雇主責任
avatar
若芽的沙龍
2022/04/21
Thumbnail
【ISO 45001系列】 規劃-風險與機會的評鑑
ISO 45001對於風險跟機會總共有4種排列組合,而且都是分開規範的。但其實改善職業安全管理系統的機會,某種程度而言是會跟降低職業安全衛生風險有關,所以這4種機會跟風險其實是息息相關且不可分割。本文試著透過一個系統化的流程,結合我國風險評估技術指引來架構整個評鑑風險和機會的流程。
#ISO45001#職業安全衛生管理系統#雇主責任
avatar
若芽的沙龍
2022/04/21
Thumbnail
【ISO 45001系列】 規劃-法規事項與其他事項的探求
法規事項跟其他事項的探求,如果單就ISO 45001的規範,往往很容易會讓組織迷失在眾多的法規裡面而顯得沒有什麼效率。本文藉由在危害鑑別時,就要求組織必須要針對職業安全衛生法規和組織特別適用的法規,去探討可能的危害,顯得更有效率,也更願意去執行。
#ISO45001#職業安全衛生法規#職業安全衛生管理系統
avatar
若芽的沙龍
2022/04/19
Thumbnail
【ISO 45001系列】 制度架構-溝通制度與文件化資訊的保存制度
有了上到下的教育訓練,自然少不了下到上或是水平單位、對外單位的溝通制度,本文提供了內部溝通方式的具體做法與建議。而做得這麼辛苦的管理系統,一定要把成果以及面臨到的問題保存下來,之後這些文件化的資訊肯定可以派上很大的用場,本文這邊也整理出來整個ISO 45001條文裡面有對應要求文件化資訊的內容。
#ISO45001#職業安全衛生管理系統#雇主責任
avatar
若芽的沙龍
2022/04/18
Thumbnail
【ISO 45001系列】 制度架構-教育訓練制度
ISO 45001希望組織內所有的工作者,從最高管理階層到非管理工作人員都能夠參與其中,因此ISO 45001要求組織必須確保工作者有一定的適任性,而相關的法規也有要求教育訓練制度。因此本文透過人力資源相關的參考文獻,試著建立職業安全衛生管理系統脈絡下的教育訓練制度。
#ISO45001#職業安全衛生法規#雇主責任
avatar
若芽的沙龍
2022/04/15
Thumbnail
【ISO 45001系列】 制度架構-組織的角色、責任與權責
ISO 45001作為一個非強制性的標準,在工作者、管理工作人員和最高管理階層的定義上,要如何跟我國一般組織與企業來做連接會是一個問題。本文試著就標準的權責規範以及我國法規規定綜合討論,來釐清這個部分遇到的障礙,並提供標準內各層級的權責實務上具體化的做法。
#ISO45001#職業安全衛生管理系統#雇主責任
avatar
若芽的沙龍
2022/04/14
Thumbnail
【ISO 45001系列】 制度架構-管理系統負責人員與單位建置
在執行管理系統之前,必須要先把制度先架起來才行!但是ISO 45001跟制度有關的條文其實散落在不同的章節之中常常讓人摸不著頭緒,本文將其整理過後,打破原本的系統規範架構獨立提出了「制度架構」這一個部分,來讓管理系統的落實變得比較按部就班且容易執行。
#職業安全衛生法規#雇主責任#職業安全衛生管理系統
avatar
若芽的沙龍
2022/04/13
Thumbnail
【ISO 45001系列】 管理系統的適用範圍決定與考量要素
ISO 45001標準對於組織是否要建立管理系統採自願性質並非強制,但其實對於是否應建立管理系統,除了需參照ISO 45001規範外還需參考我國職業安全衛生法規。而針對適用的空間範圍、主體的範圍也並非毫無限制,本文試著從我國現行法以及ISO 45001的規範,討論管理系統適用範圍的最低適法性要求。
#職業安全衛生管理系統#職業安全衛生法規#雇主責任
avatar
若芽的沙龍
2022/04/12
Thumbnail
【ISO 45001系列】 「組織前後環節」中的「組織內部議題」探求範圍與內容
除了外部議題的討論以外,組織的內部議題也往往非常的繁瑣而且複雜。ISO 45001條文之中雖然有在附錄列舉相關的內容,但組織很常在調查的時候因為沒有一個標準化流程,而導致可能會掛一漏萬。本文試著將內部議題的調查,針對不同組織規模將調查的流程標準化,並提供相關的表單做為參考。
#ISO45001#職業安全衛生管理系統#職業安全
avatar
若芽的沙龍
2022/04/11
Thumbnail
【ISO 45001系列】「外部利害相關者」與「組織外部議題」之範圍與界定方法
ISO 45001的條文規範為了想要盡量適用於各行各業,因此寫得稍微比較抽象,對於想要自行建構ISO 45001職業安全衛生管理系統的組織,會面臨到一大困境。本文先從條文中的「組織前後環節」的地方,針對外部議題利用外部利害關係人的角色,去具體化整個尋找外部議題的過程,給予相關的建議。
#ISO45001#職業安全衛生管理系統#雇主責任