ISO/IEC27002:2022已于2022年2月15日發(fā)布，為使ISO/IEC27001的附錄A與ISO/IEC27002:2022一致，新版ISO/IEC27001預(yù)計在2022年10月對外公布。企業(yè)需了解相關(guān)內(nèi)容以積極應(yīng)對新版ISO/IEC27001的發(fā)布，SGS老師對關(guān)注度較高的話題進行了詳細解答。

問題1：對于GDPR的自我聲明中，一般會側(cè)重ISO/IEC27001，而ISO/IEC27701是輔助性，這樣的理解對嗎？
眾所周知，ISO/IEC27001是保護信息的保密性、完整性和可用性的。那么對于個人數(shù)據(jù)也是如此，使用ISO/IEC27001來保護個人數(shù)據(jù)不被泄露、不被破壞和可用是很好的。但是，個人數(shù)據(jù)保護不僅僅是防止個人數(shù)據(jù)被泄露和被破壞，還要關(guān)注個人數(shù)據(jù)處理的的原則問題和數(shù)據(jù)主體的權(quán)利等問題，例如個人數(shù)據(jù)處理的目的限制、最小化原則，數(shù)據(jù)主體的知情權(quán)、訪問權(quán)等。為了滿足個人數(shù)據(jù)處理原則和滿足數(shù)據(jù)主體的權(quán)利等問題，ISO/IEC27001沒有提供這方面的控制措施，而ISO/IEC27701提供了對應(yīng)的控制措施。

問題2：新版ISO/IEC27001包含了隱私保護部分，那是否可以代替ISO/IEC27701標(biāo)準(zhǔn)呢？ISO/IEC27701還需要認(rèn)證嗎？
雖然ISO/IEC27001 FDIS 2022包含了3個隱私控制：信息刪除，數(shù)據(jù)脫敏和數(shù)據(jù)防泄漏，但是還不足以代替ISO/IEC27701在個人信息保護方面的作用。ISO/IEC27701:2019標(biāo)準(zhǔn)在個人信息處理方面，針對個人信息控制者增加了31個控制項，針對個人信息處理者增加了18個控制項，這些增加的控制項都是為了安全地處理個人信息，確保個人信息的處理合規(guī)以及滿足個人主體的權(quán)利。因此，ISO/IEC27001不能替代ISO/IEC27701，如果您有隱私保護的相關(guān)需求，建議通過ISO/IEC27701的認(rèn)證。

問題3：已經(jīng)培訓(xùn)了ISO/IEC27001:2013版的，2023年做認(rèn)證還需要重新培訓(xùn)嗎？
如果選擇在2023年做ISO/IEC27001認(rèn)證，并且當(dāng)認(rèn)證時ISO/IEC27001:2022版已經(jīng)發(fā)布，企業(yè)認(rèn)證有兩個選擇：認(rèn)證ISO/IEC27001:2013版或者認(rèn)證2022版。如果選擇繼續(xù)認(rèn)證2013版，那么暫時可以不需要2022版的培訓(xùn)，但是在2022版標(biāo)準(zhǔn)發(fā)布后3年內(nèi)要將2013版證書轉(zhuǎn)換成2022版證書。如果選擇認(rèn)證2022版，那么需要考慮2022版的要求，例如更新信息安全風(fēng)險評估和風(fēng)險處置計劃，更新適用性聲明（SOA），更新政策和程序等等。

問題4：信息安全策略集要如何更新呢？
ISO/IEC27001 FDIS 2022中新增加了11個控制項，針對這個11個控制項，企業(yè)可考慮是否需要增加新的策略，如需增加，在現(xiàn)有策略集中加入新的策略，如不需增加，保持現(xiàn)有的策略集即可。

問題5：新版ISO/IEC27001審查風(fēng)險評價和處置計劃方法上有變化，那也就資產(chǎn)識別和風(fēng)險評價方法會有變化嗎？
新版ISO/IEC27001風(fēng)險評估和風(fēng)險處置的方法沒有變化，只是在進行信息安全風(fēng)險處置時可選的控制措施有變化，所以企業(yè)現(xiàn)在使用的信息安全風(fēng)險評估方法基本不受影響。