Khi thế giới đang phải đối mặt với những thách thức mới về bảo mật, Tiêu chuẩn ISO / IEC 27001 đã được quốc tế công nhận nhằm mục đích bảo vệ tính bí mật, tính sẵn có và tính toàn vẹn của tài sản thông tin của tổ chức đã được cập nhật và cập nhật mới hơn, phù hợp hơn. ISO / IEC 27001: 2022 mới đã được xuất bản vào ngày 25 tháng 10 năm 2022.
Những thay đổi mới của ISO / IEC 27001: 2022
- Khác với ISO / IEC 27001: 2013, tiêu đề hoàn chỉnh của phiên bản Tiêu đề mới là ISO / IEC 27001:2022 Bảo mật thông tin, An ninh mạng và Bảo vệ quyền riêng tư.
- Phần thay đổi đáng kể nhất là Phụ lục A của ISO / IEC 27001.
- Đối với các phần khác, các khoản từ 4 đến 10 đã trải qua một số thay đổi nhỏ, đặc biệt là trong các khoản 4.2, 6.2, 6.3 và 8.1 trong đó nội dung mới đã được bổ sung. Các cập nhật khác bao gồm những thay đổi nhỏ trong thuật ngữ và cấu trúc lại các câu và mệnh đề. Tuy nhiên, tiêu đề và thứ tự của các điều khoản này vẫn giữ nguyên.
Những thay đổi kiểm soát chính trong Phụ lục A là gì?
Phụ lục A của ISO / IEC 27001: 2022 bao gồm những thay đổi về cả hai, số lượng các biện pháp kiểm soát và danh sách của chúng theo nhóm. Tiêu đề của Phụ lục này cũng đã thay đổi từ Mục tiêu và biện pháp kiểm soát tham chiếu (Reference control objectives and controls) thành Các biện pháp kiểm soát an toàn thông tin tham khảo (Information security controls reference). Do đó, các mục tiêu tham chiếu của mỗi nhóm kiểm soát đã có trong phiên bản trước của tiêu chuẩn, nay đã bị loại bỏ.
Số lượng kiểm soát của Phụ lục A đã giảm từ 114 xuống 93, việc giảm số lượng kiểm soát chủ yếu đến từ việc hợp nhất nhiều kiểm soát trong số đó.
Các biện pháp kiểm soát đã được cấu trúc lại thành bốn nhóm là:
- A.5 Kiểm soát tổ chức/ Organizational controls – chứa 37 kiểm soát
- A.6 Kiểm soát con người/ People controls – chứa 8 kiểm soát
- A.7 Kiểm soát vật lý/ Physical controls – chứa 14 kiểm soát
- A.8 Kiểm soát công nghệ/ Technological controls – chứa 34 kiểm soát
ISO / IEC 27001: 2022 cũng đã bổ sung 11 biện pháp kiểm soát mới được đề cập bên dưới vào Phụ lục A:
- A.5.7Thông tin tình báo về mối đe dọa / Threat intelligence
- A.5.23 Bảo mật thông tin cho các dịch vụ sử dụng điện toán đám mây/ Information security for the use of cloud services
- A.5.30 Sự sẵn sàng của CNTT-TT cho việc kinh doanh liên tục /ICT readiness for business continuity
- A.7.4 Giám sát an ninh vật lý / Physical security monitoring
- A.8.9 Quản lý cấu hình / Configuration management
- A.8.10 Xóa bỏ thông tin / Information deletion
- A.8.11 Che dấu dữ liệu / Data masking
- A.8.12 Ngăn chặn rò rỉ dữ liệu / Data leakage prevention
- A.8.16 Giám sát các hoạt động / Monitoring activities
- A.8.23 Lọc web / Web filtering
- A.8.28 Mã hóa an toàn / Secure coding
Thời hạn cho đánh giá chuyển đổi từ phiên bản ISO/IEC 27001:2013 sang ISO/IEC 27001:2022
Tiêu chuẩn ban hành ngày 25/10/2022
Thời gian cập nhật ISMS và chuyển đổi chứng nhận sang ISO/IEC 27001:2022 chậm nhất ngày 31/10/2025. Sau ngày 31/10/2025, tất cả chứng nhận ISO/IEC 27001:2013 sẽ hết hiệu lực.
Chậm nhất là 12 tháng kể từ ngày 31/10/2022, tiêu chuẩn ISO/IEC 27001:2022 sẽ được đánh giá và cấp chứng nhận.
Liên hệ tư vấn: Mr Vũ – 0705871819 Hoặc email: sale@medivn.com