ag真人平台官方

　　ISO 27001信息安全管理体系项目背景

　　随着信息技术的高速发展，Internet的问世及网上各种应用的普及，信息安全问题日显突出。系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部数据的泄露等等，这些安全问题已给组织的经营、管理和生存带来了严重的影响。如何确保企业信息系统的安全已成为全社会关注的问题。

　　ISO 27001信息安全管理体系是目前国际上最先进的信息安全整体解决方案。它以组织风险评估为基石，运用PDCA过程方法和SOA中的信息安全控制措施来帮助组织解决信息安全问题，实现信息安全目标。

　　 
　　ISO 27001认证益处

　　进行ISO 27001信息安全管理体系认证，可以增进组织间电子电子商务往来的信用度，能够建立起网站和贸易伙伴之间的互相信任。
　　通过认证能保证和证明组织所有的部门对信息安全的承诺。
　　通过认证可改善全体的业绩、消除不信任感。
　　获得国际认可的机构的认证证书，可得到国际上的承认，拓展您的业务。
　　建立信息安全管理体系能降低这种风险，通过第三方的认证能增强投资者及其他利益相关方的投资信心。

　 
　　ISO 27001适用范围

　　信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。

　　作为国际上具有代表性的信息安全管理体系标准，ISO/IEC 27001随着信息安全管理的变化趋势应境而变，为使ISO/IEC 27001的附录A与ISO/IEC 27002:2022一致，新版标准ISO/IEC 27001:2022预计将于2022年10月24日正式发布。新版标准发布在即，以下为大家关注的转版热点问题，解答企业实际工作中的困惑。

　　Q 现在可以做ISO/IEC 27001:2022新版认证吗？
　　A 目前可以按照FDIS版本做差距分析，新版在本月底（10月24日）正式发布后才能进行ISO/IEC27001:2022新版认证，新版证书的发放取决于认可机构的认可进度。

　　Q 2024年年度评审能否按照旧版进行审核？
　　A 还可以按照旧版进行审核，但2025年9月证书就失效了，建议可以准备按照新的版本进行审核，不要拖到最后的时间。

　　Q 目前最常用的信息安全风险评估从哪几个方面做？
　　A 信息安全风险评估在最新ISO/IEC 27001:2022标准中没有太大的变化，但在ISO/IEC 27005:2018标准中讲了风险评估的一个方法论，更强调的是从业务的角度识别业务风险及识别威胁漏洞，根据发生的可能性从量化、定量、定性算出风险的大小，然后按照企业的风险偏好，采取相应的风险控制措施。

　　Q 不在SOA里面的也可以自己增加控制项吗？
　　A 不在SOA里面的控制项，企业也可以继续添加，实施信息安全管理控制。因为标准只是提供一个起点，企业可以从标准里面去选取适用的控制项，按照实际去补充新的控制项。在ISO/IEC 27000系列标准中，提供了其它的标准供企业选择补充新版ISO/IEC 27001:2022标准中SOA的控制项。例如：关于应用安全ISO/IEC 27034:2011标准，可以在ISO/IEC 27001:2022中追加ISO/IEC 27034:2011应用安全的控制项，或增加ISO/IEC 27040:2015存储安全的控制项。

　　Q 正准备做ISO/IEC 27001:2013的认证，建议做哪些版本合适？
　　A 目前正准备进行认证的企业，建议可以先使用新版ISO/IEC 27001:2022做一个差距评估分析，根据差距的程度评估，选择适合的版本进行认证。评估差距不大，可直接申请新版本的认证，过程中会涉及到执行的差距不大，但会涉及少量的更新工作，如在文件的准备上，需要按照新版本更新SOA控制项。评估差距很大，可以给自己预留充足的时间窗（如1年的时间）再进行升版。