ISO/IEC 27002:2022和ISO/IEC 27001:2022标准于2022年的2月与10月分别亮相，取代了先前的2013版。在新版本推出后的三年内，所有已获得2013版ISO 27001认证的组织须要逐步完成转版认证工作，即采用2022版的标准进行认证。

相较于2013版本，新版标准引入了一系列的更新。为帮助组织深入理解这些修改，本文将详细解读新版本的变更内容，并提供一份关于如何基于新版本进行信息安全管理体系建设、优化和认证的具体指南。通过参考和实践这些策略和建议，组织将能有效地建立和完善自身的信息安全管理体系，从而顺利地获取新版ISO 27001的认证。

（一）标准名称的变化

新版ISO 27001和ISO 27002的官方标准名称已经更新为ISO/IEC 27001:2022《信息安全、网络安全和隐私保护 信息安全管理体系 要求》以及ISO/IEC 27002:2022《信息安全、网络安全和隐私保护 信息安全控制》。这两个新的标题就清楚地揭示出，其覆盖的范围已从原本的“信息技术 安全技术”扩展至“信息安全、网络安全和隐私保护”。这个变化体现了新标准致力于紧跟现代信息技术与信息安全的发展潮流，以便在不断进步的环境中保持其应有的领先地位和实用性。

（二）标准内容的变化

ISO 27002:2022标准在ISO 27002:2013的基础上实施了一系列的改进和优化。对于原有的14个控制领域以及114个控制项，新版标准进行了细致的审查，对部分内容进行了合并、剔除，并引入了新的控制项。

在最新的ISO/IEC 27002:2022标准中，明确列出了93个控制项，这些控制项涵盖了4个主题和15个安全运营能力域。这些改动使得新版标准更具有针对性和实用性，更能满足现代信息安全管理的需求。

1. 15个安全运营能力域

运营能力是从组织的信息安全能力角度来看待控制的一个属性。包括治理、资产管理、信息保护、人力资源安全、物理安全、系统和网络安全、应用安全、安全配置、身份和访问管理、威胁和漏洞管理、连续性、供应商关系安全、法律和合规性、信息安全事件管理和信息安全保障。

图1：标准ISO 27002:2022的15个安全运营能力域

与旧版本的14个控制域相比，新标准的15个运营能力域有几个明显的变化，如新增了“信息保护”“安全配置”“威胁和漏洞管理”领域；部分领域的名称也有了变化，如“信息系统获取、开发和维护”改为“应用安全”、“通信安全”改为“系统和网络安全”等。

2. 4个主题和93个控制项

修订后的2022版将93项控制措施分配到组织、人员、物理、技术四大主题，这样方便了组织对安全控制点进行选择归类，通过归类的特定主题策略支持信息安全策略，以加强信息安全控制的实施。

图2：标准ISO 27002:2022的4个主题和93个控制项

2022版本相对于2013增加了11个安全控制项，包括：威胁情报、云服务使用的信息安全、业务连续性中ICT准备、物理安全监控、配置管理、信息删除、数据脱敏、数据防泄露、监控活动、网页过滤和安全编码。

增加的控制项主要集中在组织和技术这两大主题，组织控制主题中增加了云、威胁情报，以及业务连续性的控制点，而技术控制主题主要是增加了关于配置管理、数据安全等控制点。

当组织致力于构建和优化其信息安全管理体系时，强烈推荐参照最新版的ISO 27001和ISO 27002标准。这需要组织根据自身的信息安全战略，进行持续的改进并完善信息安全管控措施。

在信息安全管理体系建设和取得认证的过程中，寻求专业咨询机构的协助能够为组织带来重大益处。咨询机构的专业团队不仅能够帮助组织深入理解新标准的要求，更能够提供定制化的解决方案，指导如何构建和更新信息安全管理体系以满足这些标准。

咨询机构在协助组织建设信息安全管理体系并最终获得认证的过程中，将通过持续的培训和知识传递，有力地提升组织员工的信息安全意识和技能熟练度。这不仅能够强化员工的信息安全素养，也能提升整个组织的信息安全防御能力，助力组织在日益复杂的信息安全环境中稳健前行。

（一）信息安全管理体系的建设

在建设信息安全管理体系过程中，组织需深入理解新版本ISO 27001和ISO 27002的标准要求和参考意见，并设立专职的信息安全团队，负责信息安全管理体系的构建、实施及维护。

首要步骤是对组织现有的信息安全状况进行评估，明确可能导致信息资产泄露、破坏或丢失的威胁及这些威胁可能造成的影响。信息安全风险评估的目标不仅在于保护信息资产，同时也通过评估来规划合适的安全措施，以确保业务的连续性。

实施风险评估的方法多样，比如通过对标ISO 27001和ISO 27002的差距分析和风险评估，基于资产的风险评估，对特定业务流程或IT流程的风险评估，或者使用漏洞扫描和渗透测试进行技术评估等。其中，基于资产的风险评估在ISO 27001认证项目中被广泛应用，主要通过识别信息资产、威胁和脆弱性三个要素，并在此基础上进行分析和量化，使用预选的风险评估模型计算安全事件的发生可能性、潜在损失及对组织的影响即安全风险值。进行资产评估时，可以参考《GB/T 20984-2022 信息安全技术 信息安全风险评估方法》的相关内容。

根据信息安全评估结果，参考ISO 27002的控制要求，针对性地选择符合组织实际需求的信息安全控制措施来管理风险。在此过程中，组织需要制定一系列的政策和流程，即创建一套信息安全管理制度体系文件，以指导信息安全管理工作，并确保所有员工明确自身在信息安全管理中的职责和任务。

体系文件编制完成后，按照文件的控制要求进行审核与批准并发布实施，至此，信息安全管理体系将进入运行阶段，组织应进行至少3个月的试运行，试运行的目的是通过实施各项策略、程序和各种作业指导性文件等一系列体系文件，充分发挥体系本身的各项功能，检验设计的体系在实际运行中存在的不足并进行相应的调整。

试运行结束后，应进行体系的内部审核，以检查信息安全管理体系是否正常运行并符合ISO 27001的要求。同时，管理层需要定期审查信息安全管理体系的运行状况和是否能满足组织的业务需求和目标。根据内部审核和管理层审查的结果，组织应持续优化信息安全管理体系，确保其始终满足组织的需求和目标。

完成内部审核和管理层审查后，组织可以邀请认证机构进行认证审核。若顺利通过审核，即可获得ISO 27001的认证证书。

（二）信息安全管理体系的优化

对于已经获得2013版ISO 27001认证证书的组织而言，需要深入理解ISO 27001:2022与ISO 27001:2013之间的差异以及这些差异的实际意义。

在此基础上，对现有的信息安全管理系统进行全面审查，明确其在符合新标准要求方面的优势，以及在哪些环节还存在改进的需要。

针对审查结果，制定详细的改进行动计划，该计划应包含对现有政策和程序的修改，新的控制措施的引入，以及必要的额外培训等内容。对于新版中新增的控制项，需要依据组织的实际状况，在现有的信息安全管理制度中进行相应的补充和完善。例如，新增《数据安全管理办法》《威胁情报管理办法》《安全配置管理办法》和《云服务安全管理办法》等内容，在现有的《信息系统开发安全管理制度》中补充和更新安全编码的要求。

完成所有改进行动后，仍需要进行至少3个月的试运行，并执行内部审核，确保满足了所有新版标准的要求。同时，组织的管理层需要审查更新后的信息安全管理体系，确认其是否符合组织的业务需求和目标。

最后阶段，邀请认证机构进行认证审核。成功通过审核后，组织即可获取ISO 27001:2022的认证证书。

（三）信息安全管理体系建设的增值服务－重点领域专项建设

1.数据安全体系设计

数据安全管理体系应当是信息安全管理体系的重要组成部分，组织在进行数据安全管理体系建设时，要确保与现有安全管理体系的融合，并把数据安全管理体系的运营纳入到现有的安全体系运营中来。

组织可结合数据安全相关法律法规和行业监管要求，参考ISO 27002标准要求，在对关键业务流程和业务系统深入理解的基础上，梳理组织的数据资产，明确数据的分布、流转和处理过程，识别敏感数据的安全风险。基于风险评估的结果，制定和实施数据安全策略，包括建立数据安全管理组织、制定数据安全管理制度流程、部署数据安全技术工具等。

数据安全管理组织架构，可以参照信息安全管理体系的四层设计，即决策层、管理层、执行层、监督层，在原有信息安全管理组织体系的基础上，对每一层级补充数据安全的职责。

数据安全管理制度体系也可分为四层架构，每一层作为上一层的支撑。

第一层是管理总纲，即《数据安全管理制度》，是组织数据安全顶层的方针和策略，应明确数据安全治理的目标和重点；

第二层是管理制度，应对数据安全管理活动中的各类管理内容建立安全管理制度，如《数据生命周期安全管理制度》《数据分类分级安全管理制度》《数据安全应急响应制度》《数据安全合规评估制度》等；

第三层是操作流程和规范性文件，是作为制度要求下指导数据安全策略落地的指南，如《数据安全分类分级操作指南》《数据安全技术防护操作指南》《数据安全审计规范》等指导性文件；

第四层是流程图和表单文件，是作为数据安全落地运营过程中产生的执行文件，如《数据资产管理清单》《数据使用申请审批表》《数据安全定级流程图》等。

依据组织数据安全建设的方针策略，围绕数据生命周期各阶段的安全要求，建立与制度流程相配套的技术和工具，如数据防泄露工具、数据脱敏工具、数据备份工具、数据销毁工具等。

数据安全管理团队应定期监控和审计数据安全控制措施的效果，发现并及时处理数据安全事件。基于监控和审计的结果，持续改进数据安全管理体系。

2.信息科技外包管理体系设计

作为信息安全管理体系的关键组成部分，信息科技外包管理体系对于依赖外包服务商执行大量开发、测试和运维任务的组织来说尤为重要，他们必须加强对信息科技外包服务商的安全管理。

特别是对于银行和保险机构，根据《银行保险机构信息科技外包风险监管办法》（银保监办发〔2021〕141号）规定，它们需要对信息科技外包活动进行规范，并强化对信息科技外包风险的管控。在遵循此办法的同时，这些机构还应参考ISO 27002:2022标准中“供应商关系安全”领域的控制要求，并结合外包商及其员工的安全管理实践，来构建信息科技外包管理组织架构，以及更新和完善信息科技外包管理体系文件。

管理体系文件应包括信息科技外包商安全管理办法、信息科技外包人员安全管理办法等，明确规定信息科技外包的种类、准入标准、重要外包商的尽职调查流程和内容、信息科技外包合同管理、信息科技外包监控评估、信息科技外包风险管理以及信息安全外包的安全管理等方面的内容。

实施这些工作将帮助组织更有效地识别和管理与外包商和外包人员相关的安全风险，预防因外包服务可能导致的信息泄露、数据丢失、业务中断、资金损失等安全问题的发生。

3.信息系统开发生命周期安全体系设计

在信息安全管理体系中，信息系统开发生命周期安全管理是一个重要组成部分。组织应参考ISO 27002:2022标准中“应用安全”领域的控制要求，结合安全开发生命周期实践，关注如何在整个信息系统的开发过程中，从需求分析、设计、编码、测试到部署和维护，都融入安全性的考虑。

首先，组织需要制定一个明确的策略，定义在整个信息系统开发生命周期中如何进行安全管理。此策略应包括对安全需求的识别、安全设计原则、安全编码实践、安全测试以及在部署和维护过程中如何进行安全管理的指南。

在系统需求分析阶段，要识别和明确安全需求。这可能包括对数据的保护、对系统访问的控制，以及如何防止和应对安全事件等。

在设计和编码阶段，需要确保安全需求被纳入系统设计中，并遵循安全编码实践，例如避免常见的安全漏洞（如注入攻击、跨站脚本攻击等）。

在测试阶段，除了测试功能性需求外，还需要测试安全需求是否得到满足。这可能包括对系统的渗透测试、恶意软件扫描等。

在部署和维护阶段，需要确保系统的安全性。例如，需要控制对生产环境的访问，定期对系统进行安全审计，并定期更新和补丁管理。

对员工进行培训，保证员工有足够的安全知识和技能，可以提升整个生命周期的安全性。例如，开发人员需要了解如何避免常见的安全漏洞，测试人员需要知道如何进行安全测试，运维人员需要知道如何保护生产环境的安全。