SO/IEC27002:2022已于2022年2月15日发布,为使ISO/IEC27001的附录A与ISO/IEC27002:2022一致,新版ISO/IEC27001预计在2022年10月对外公布。企业需了解相关内容以积极应对新版ISO/IEC27001的发布,SGS老师对关注度较高的话题进行了详细解答。
问题1:对于GDPR的自我声明中,一般会侧重ISO/IEC27001,而ISO/IEC27701是辅助性,这样的理解对吗?
众所周知,ISO/IEC27001是保护信息的保密性、完整性和可用性的。那么对于个人数据也是如此,使用ISO/IEC27001来保护个人数据不被泄露、不被破坏和可用是很好的。但是,个人数据保护不仅仅是防止个人数据被泄露和被破坏,还要关注个人数据处理的的原则问题和数据主体的权利等问题,例如个人数据处理的目的限制、最小化原则,数据主体的知情权、访问权等。为了满足个人数据处理原则和满足数据主体的权利等问题,ISO/IEC27001没有提供这方面的控制措施,而ISO/IEC27701提供了对应的控制措施。
问题2:新版ISO/IEC27001包含了隐私保护部分,那是否可以代替ISO/IEC27701标准呢?ISO/IEC27701还需要认证吗?
虽然ISO/IEC27001 FDIS 2022包含了3个隐私控制:信息删除,数据脱敏和数据防泄漏,但是还不足以代替ISO/IEC27701在个人信息保护方面的作用。ISO/IEC27701:2019标准在个人信息处理方面,针对个人信息控制者增加了31个控制项,针对个人信息处理者增加了18个控制项,这些增加的控制项都是为了安全地处理个人信息,确保个人信息的处理合规以及满足个人主体的权利。因此,ISO/IEC27001不能替代ISO/IEC27701,如果您有隐私保护的相关需求,建议通过ISO/IEC27701的认证。
问题3:已经培训了ISO/IEC27001:2013版的,2023年做认证还需要重新培训吗?
如果选择在2023年做ISO/IEC27001认证,并且当认证时ISO/IEC27001:2022版已经发布,企业认证有两个选择:认证ISO/IEC27001:2013版或者认证2022版。如果选择继续认证2013版,那么暂时可以不需要2022版的培训,但是在2022版标准发布后3年内要将2013版证书转换成2022版证书。如果选择认证2022版,那么需要考虑2022版的要求,例如更新信息安全风险评估和风险处置计划,更新适用性声明(SOA),更新政策和程序等等。
问题4:信息安全策略集要如何更新呢?
ISO/IEC27001 FDIS 2022中新增加了11个控制项,针对这个11个控制项,企业可考虑是否需要增加新的策略,如需增加,在现有策略集中加入新的策略,如不需增加,保持现有的策略集即可。
问题5:新版ISO/IEC27001审查风险评价和处置计划方法上有变化,那也就资产识别和风险评价方法会有变化吗?
新版ISO/IEC27001风险评估和风险处置的方法没有变化,只是在进行信息安全风险处置时可选的控制措施有变化,所以企业现在使用的信息安全风险评估方法基本不受影响。