97观看精品-97国产-97国产精品人人-97国产人人-97国产婷婷综合-97国产婷婷综合视

SO/IEC27002:2022已于2022年2月15日發布，為使ISO/IEC27001的附錄A與ISO/IEC27002:2022一致，新版ISO/IEC27001預計在2022年10月對外公布。企業需了解相關內容以積極應對新版ISO/IEC27001的發布，SGS老師對關注度較高的話題進行了詳細解答。

問題1：對于GDPR的自我聲明中，一般會側重ISO/IEC27001，而ISO/IEC27701是輔助性，這樣的理解對嗎？
眾所周知，ISO/IEC27001是保護信息的保密性、完整性和可用性的。那么對于個人數據也是如此，使用ISO/IEC27001來保護個人數據不被泄露、不被破壞和可用是很好的。但是，個人數據保護不僅僅是防止個人數據被泄露和被破壞，還要關注個人數據處理的的原則問題和數據主體的權利等問題，例如個人數據處理的目的限制、最小化原則，數據主體的知情權、訪問權等。為了滿足個人數據處理原則和滿足數據主體的權利等問題，ISO/IEC27001沒有提供這方面的控制措施，而ISO/IEC27701提供了對應的控制措施。

問題2：新版ISO/IEC27001包含了隱私保護部分，那是否可以代替ISO/IEC27701標準呢？ISO/IEC27701還需要認證嗎？
雖然ISO/IEC27001 FDIS 2022包含了3個隱私控制：信息刪除，數據脫敏和數據防泄漏，但是還不足以代替ISO/IEC27701在個人信息保護方面的作用。ISO/IEC27701:2019標準在個人信息處理方面，針對個人信息控制者增加了31個控制項，針對個人信息處理者增加了18個控制項，這些增加的控制項都是為了安全地處理個人信息，確保個人信息的處理合規以及滿足個人主體的權利。因此，ISO/IEC27001不能替代ISO/IEC27701，如果您有隱私保護的相關需求，建議通過ISO/IEC27701的認證。

問題3：已經培訓了ISO/IEC27001:2013版的，2023年做認證還需要重新培訓嗎？
如果選擇在2023年做ISO/IEC27001認證，并且當認證時ISO/IEC27001:2022版已經發布，企業認證有兩個選擇：認證ISO/IEC27001:2013版或者認證2022版。如果選擇繼續認證2013版，那么暫時可以不需要2022版的培訓，但是在2022版標準發布后3年內要將2013版證書轉換成2022版證書。如果選擇認證2022版，那么需要考慮2022版的要求，例如更新信息安全風險評估和風險處置計劃，更新適用性聲明（SOA），更新政策和程序等等。

問題4：信息安全策略集要如何更新呢？
ISO/IEC27001 FDIS 2022中新增加了11個控制項，針對這個11個控制項，企業可考慮是否需要增加新的策略，如需增加，在現有策略集中加入新的策略，如不需增加，保持現有的策略集即可。

問題5：新版ISO/IEC27001審查風險評價和處置計劃方法上有變化，那也就資產識別和風險評價方法會有變化嗎？
新版ISO/IEC27001風險評估和風險處置的方法沒有變化，只是在進行信息安全風險處置時可選的控制措施有變化，所以企業現在使用的信息安全風險評估方法基本不受影響。