ISO/IEC27002:2022和ISO/IEC27001:2022标准于2022年的2月与10月分别亮相，取代了先前的2013版。在新版本推出后的三年内，所有已获得2013版ISO27001认证的组织须要逐步完成转版认证工作，即采用2022版的标准进行认证。

相较于2013版本，新版标准引入了一系列的更新。为帮助组织深入理解这些修改，本文将详细解读新版本的变更内容，并提供一份关于如何基于新版本进行信息安全管理体系建设、优化和认证的具体指南。通过参考和实践这些策略和建议，组织将能有效地建立和完善自身的信息安全管理体系，从而顺利地获取新版ISO27001的认证。

2022版ISO27001与2013版的变化和解读

（一）标准名称的变化

新版ISO27001和ISO27002的官方标准名称已经更新为ISO/IEC27001:2022《信息安全、网络安全和隐私保护 信息安全管理体系 要求》以及ISO/IEC27002:2022《信息安全、网络安全和隐私保护 信息安全控制》。这两个新的标题就清楚地揭示出，其覆盖的范围已从原本的“信息技术 安全技术”扩展至“信息安全、网络安全和隐私保护”。这个变化体现了新标准致力于紧跟现代信息技术与信息安全的发展潮流，以便在不断进步的环境中保持其应有的领先地位和实用性。

（二）标准内容的变化

ISO27002:2022标准在ISO27002:2013的基础上实施了一系列的改进和优化。对于原有的14个控制领域以及114个控制项，新版标准进行了细致的审查，对部分内容进行了合并、剔除，并引入了新的控制项。

在最新的ISO/IEC 27002:2022标准中，明确列出了93个控制项，这些控制项涵盖了4个主题和15个安全运营能力域。这些改动使得新版标准更具有针对性和实用性，更能满足现代信息安全管理的需求。

1. 15个安全运营能力域

运营能力是从组织的信息安全能力角度来看待控制的一个属性。包括治理、资产管理、信息保护、人力资源安全、物理安全、系统和网络安全、应用安全、安全配置、身份和访问管理、威胁和漏洞管理、连续性、供应商关系安全、法律和合规性、信息安全事件管理和信息安全保障。

与旧版本的14个控制域相比，新标准的15个运营能力域有几个明显的变化，如新增了“信息保护”“安全配置”“威胁和漏洞管理”领域；部分领域的名称也有了变化，如“信息系统获取、开发和维护”改为“应用安全”、“通信安全”改为“系统和网络安全”等。

新标准的15个运营能力域与旧标准的14个控制域之间的对应关系如下表：

2. 4个主题和93个控制项

修订后的2022版将93项控制措施分配到组织、人员、物理、技术四大主题，这样方便了组织对安全控制点进行选择归类，通过归类的特定主题策略支持信息安全策略，以加强信息安全控制的实施。

2022版本相对于2013增加了11个安全控制项，包括：威胁情报、云服务使用的信息安全、业务连续性中ICT准备、物理安全监控、配置管理、信息删除、数据脱敏、数据防泄露、监控活动、网页过滤和安全编码。

增加的控制项主要集中在组织和技术这两大主题，组织控制主题中增加了云、威胁情报，以及业务连续性的控制点，而技术控制主题主要是增加了关于配置管理、数据安全等控制点。

新版中增加的11个控制项说明如下表：

要有效应对ISO27001新版本标准的变化，组织可以采取以下几个步骤：

1. 更新了解新标准：详细了解新版本标准的变化及其对组织的影响。阅读新版本标准的内容，特别是变更的要求和新增的控制目标。

2. 进行现有ISMS的评估：评估当前的信息安全管理体系（ISMS），对照新版本标准，确定需要做出的改变和补充。

3. 制定详细的变更计划：根据评估结果，制定一个详细的计划，包括更新政策、过程和程序，以及培训员工和相关方面的改善措施。

4. 指定项目负责人：指定一个项目负责人或项目团队，负责领导和推进变更计划的实施。这个团队应该包括各个部门的代表，以确保全面性和协调性。

5. 更新政策和过程文件：根据新版本标准的要求，更新信息安全政策、过程和程序文件。确保这些文件反映了新的要求和最佳实践。

6. 培训和意识提升：提供培训和意识提升活动，确保员工了解新版本标准的要求和变化，并知道如何在日常工作中符合这些要求。

7. 审核和改进：定期进行信息安全管理体系的内部审核和管理评审，持续改进和调整以符合新版本标准的要求。

8. 认外部审核和证：在组织准备充分、符合新版本标准要求后，通过外部审核机构进行认证评审，获得新版本标准的认证。