ISO/IEC 27001: 2022主要变化（附正文和附录变化明细+与旧版对比）

ISO/IEC 27001:2022已于2022年10月25日正式发布，此前ISO/IEC 27001:2022也已经在2022年2月正式发布。那么，ISO/IEC 27001:2022与ISO/IEC 27001:2013相比，主要有哪些新的变化呢？

ISO/IEC 27001:2022延续了ISO/IEC 27001:2013基本架构和基本思路，因此总体看来，ISO/IEC 27001:2022没有太大变化。虽然附录部分调整比较大，但是基本上是在原来的基础上变动的，而附录本身属于底层执行的要求，况且也没有增加太多新的控制项。因此对比旧版本，在标准要求的实施层面来说，是没有太多的变化。

ISO/IEC 27001:2022主要有三方面的变化：

（一）标准的标题稍微有所变化。原先的“信息技术-安全技术”变成了“信息安全、网络安全、和隐私保护”；

（二）标准的正文部分，进行了轻微的调整。主要把其他体系标准如ISO 9001的内容放到ISO/IEC 27001:2022中去了，主要的变化集中在4.2, 6.2, 6.3, 和8.1。详细变化可以参考表1 - ISO/IEC 27001:2022与27001:2013变化对照表：

表1 - ISO/IEC 27001:2022与27001:2013变化对照表

ISO/IEC  27001: 2022		ISO/IEC  27001: 2013		新版变化
条款	条款内容	条款	条款内容
1	本文件为在组织环境下建立，实施，维护和持续改进信息安全管理体系明确了要求。	1	本国际标准为在组织环境下建立，实施，维护和持续改进信息安全管理体系明确了要。	新版中，全部使用“文件”代替了旧版中的“国际标准”
2	在本文中提到下列文件时，以这样的方式来表示其部分或全部内容构成本文件的要求。	2	以下文件的全部或部分在本文件中被规范引用，并且对于其应用是不可或缺的。	文字描述重新进行了组织，但所表达的内涵没变
3	ISO 和 IEC 维护的用于标准化的术语数据库地址如下：— ISO 在线浏览平台：https://www.iso.org/obp — IEC 电子开放平台：https://www.electropedia.org/	3	/	新版增加了ISO和IEC数据库的链接地址
4.1	注：对这些事项的确定，参见 ISO 31000:2018，5.4.1中建立外部和内部环境的内容。	4.1	注：对这些事项的确定，参见 ISO 31000:2009，5.3中建立外部和内部环境的内容。	新版中更新了注解中ISO 31000的版本
4.2	b）这些相关方的相关要求；	4.2	b) 这些相关方与信息安全有关的要求。	新版中将旧版中b)拆成了新版中的b)和c)
4.2	c) 哪些要求可以通过信息安全管理体系得到解决。	4.2	/	新增条款，由旧版中的4.2 b)拆分出的
4.2	注：相关方的要求可以包括法律、法规要求和合同义务	4.2	注：相关方的要求也许包括法律、法规要求和合同义务	新版中用“可以”替换了“也许”
4.4	组织应按照本文件的要求，建立、实现、维护和持续改进信息安全管理体系，包括信息安全管理体系所需的过程及 其相互作用。	4.4	组织应按照本国际标准的要求，建立、实现、维护和持续改进信息安全管理体系	新版中增加了“包括信息安全管理体系所需的过程及其相互作用”

5.1	注：本文件使用的“业务”一词可广义地理解为涉及组织存在目的的核心活动。	5.1	/	新版中增加了一个注解
5.2	c) 包括对满足适用的信息安全相关要求的承诺；	5.2	c) 包括对满足适用的信息安全相关要求的承诺；以及	在英文原版中，把旧版中句尾的“and”删除了，译成中文的话，有时看不出变化
5.3	最高管理层应确保与信息安全相关角色的责任和权限在组织内得到分配和沟通。	5.3	最高管理层应确保与信息安全相关角色的责任和权限得到分配和沟通。	新版增加了“在组织内”
5.3	a) 确保信息安全管理体系符合本文件的要求；	5.3	a) 确保信息安全管理体系符合本国际标准的要求；以及	在英文原版中，把旧版中句尾的“and”删除了，译成中文的话，有时看不出变化
6.1.1	b) 预防或减少不良影响；	6.1.1	b) 预防或减少不良影响；以及	在英文原版中，把旧版中句尾的“and”删除了，译成中文的话，有时看不出变化
6.1.3	注1：当需要时，组织可设计控制，或识别来自任何来源的控制。	6.1.3	注：当需要时，组织可设计控制，或识别来自任何来源的控制。	6.1.3  b)下方的注解，新版中将旧版的“注”改成了“注1”

6.1.3	注2：附录 A 包含了可能需要的信息安全控制项列表。本文件用户可在附录 A 的指导下，确保没有遗漏必要的信息安全控制。	6.1.3	注1：附录 A 包含了控制目标和控制项的综合列表。本国际标准用户可在附录 A 的指导下，确保没有遗漏必要的控制。	6.1.3  c)下面的“注1”变成了“注2”，“控制目标和控制项的综合列表”变成了“可能需要的信息安全控制项列表”，“控制”变成了“信息安全控制”
6.1.3	注3：附录 A 所列的信息安全控制并不是完备的，如果有需要，可以包含额外的信息安全控制。	6.1.3	注2：控制目标隐含在所选择的控制内。附录 A 所列的控制目标和控制并不是完备的,可能需要额外的控制目标和控制。	6.1.3  c)下面的“注2”变成了“注3”，删除了“控制目标隐含在所选择的控制内。”和“控制目标”等，注解的描述几乎重新组织，如左
6.1.3	d)… — 无论该必要的控制是否已实现；	6.1.3	d)…无论它们是否已实现；	将“它们”换成了“必要的控制”
6.1.3	d) 制定一个适用性声明（SOA），其包含： — 必要的控制（见 6.1.3 b) 和 c)）； — 其选择的合理说明； — 无论该必要的控制是否已实现； — 及对附录 A 控制删减的合理性说明。	6.1.3	d) 制定一个适用性声明,包含必要的控制[见6.1.3b)和c)]及其选择的合理性说明，无论它们是否已实现，以及对附录 A 控制删减的合理性说明;	6.1.3  d)整个条款的结构和文字描述有进行调整，如左
6.1.3	注 4：本文件中的信息安全风险评估和处置过程与ISO31000中给出的原则和通用指南相匹配。	6.1.3	注：本国际标准中的信息安全风险评估和处置过程与ISO31000中给出的原则和通用指南相匹配。	6.1.3最底部的注解由“注”变成了“注4”

这个不全部公布，放在付费板块 https://bbs.27001.cn/144-1-1.shtml

或在公众号，可以付费阅读全文https://mp.weixin.qq.com/s/TLiQGejUKPbexA5Tiln-Uw