iso27001最新版本：如何实施ISO 27701标准

什么是ISO 27001?

ISO 27001是国际管理体系标准，定义了信息安全管理体系(ISMS)的要求。该标准提供了一个更佳实践框架，用于识别、分析和实施控制措施，以管理和减轻风险——降低信息安全漏洞的可能性。

任何组织-无论规模和行业-都可以利用ISO 27001中的要求和控制来实施有效的ISMS，并可以独立认证。

由信誉良好的独立认证机构提供的经认可的ISO 27001认证证明了对信息安全的承诺，对ISMS的稳健性和有效性提供了公正的看法。这有助于履行合同义务，并在许多情况下起到贸易许可证的作用。

ISO 27001的好处是什么?为什么它如此重要?

保护您的数据和声誉

ISO 27001认证表明您已经建立了系统的、基于风险的信息安全方法，并在以下方面推动了更佳实践:

识别信息和网络安全风险

基于影响和可能性分析风险

评估风险，并根据与业务相关的因素确定风险的优先级

选择风险处理方案

遵守法律、法规和合同要求

获得ISO 27001认证需要您识别适用的法规，例如EU GDPR或HIPAA之类的法规。这对风险管理和公司治理有积极的影响，帮助您证明合规性并履行合同要求。

竞争优势

LRQA的认证让客户和利益相关者相信，安全风险——可能与IT、人员、物理环境和业务连续性有关——已经得到充分解决，以保护他们的信息。

ISO 27001认证为您的能力提供了清晰的陈述，并证明您的运作符合国际公认的更佳实践-帮助您赢得新业务。

ISO 27001稽核如何运作?

ISO 27001审核遵循与其他基于附录SL的管理体系相同的方法。您可以从培训和差距分析开始，但正式流程包括对ISMS设计的审核(阶段)和对其运行的审核(第二阶段)。这些审核的输出将由LRQA的合格独立人员进行技术审核，以确保我们对认证机构定义的更佳实践的承诺的一致性和一致性。

一旦获得批准，您的ISO 27001证书将被颁发，您将开始为期三年的监督审核周期，直至在接下来的三年内重新建立更新审核。监督使LRQA和贵组织能够管理变更，并确保审核与当前行业需求相关。

ISO 27001认证持续多久?

一旦获得批准，认证有效期为三年，但须通过监督计划证明有效的系统维护。

典型的ISMS范围和适用性声明包括哪些内容?

典型的ISMS证书范围声明包括与产品和服务交付相关的活动。它不需要包括内部活动或ISMS过程。目的是向读者保证，在接受产品或服务时所提供的信息是受保护的。

适用性声明指的是所选控件的列表。它没有提供这些控制的细节，但提供了对控制声明的可追溯参考，作为上次ISO 27001审核的基础。有时组织有一个共享的公共版本，只是列出了从ISO 27001附录a中选择的控制措施，但这不是强制性要求。

获得ISO 27001认证需要多少费用?

成本基于审计天数，审计天数与ISMS范围内的员工数量有关。审核天数在认证标准ISO 27006中公布，所有人都可以看到。与LRQA这样的认可认证机构合作，可确保您获得与所有其他认可认证机构相媲美的基于行业更佳实践的建议审核持续时间。

例如，一个拥有100名全职员工(fte)的组织应该预期初始审计持续时间(阶段+第二阶段)在8至12天之间，具体取决于他们所处的行业、工作环境的复杂程度、是否参与开发软件，或者是否需要在产品中构建安全性。随后的监测计划为每年3-4天，续期为6-8天。

已通过ISO 9001认证。我可以将它与ISO 27001集成吗?

是的，因为ISO 9001和ISO 27001都是基于管理体系的通用更佳实践模型-附录SL -核心管理过程可以优化以满足两个标准的要求。事实上，设计一个系统来解决这两个问题可以提高组织治理的有效性。例如，业务目标(如增长)通常需要开发新产品，其中安全性通常被视为符合市场期望的质量标准。集成还可以更大限度地减少重复，从而减少审计时间，提供具有成本效益的选择。

典型的ISO 27001认证流程是什么?

您的组织获得ISO 27001认证的途径通常取决于您的业务在信息安全和更广泛的风险管理方面的成熟程度，以及其他因素。但是获得ISO 27001认证的典型过程包括三个主要步骤。

阶段1审核——文件评审和策划:审核员将审核你们管理体系的设计和文件——在大多数情况下，这是远程进行的。

第二阶段审核—评估你们的实施情况:你们的审核员将根据ISO 27001的要求评估你们ISMS的实施情况和有效性。如果没有不符合项，您将获得认证。这一阶段可以远程或现场进行。

推广您的ISO 27001认证:您的认证证明了您对国际公认的更佳实践和持续改进的承诺-帮助您赢得新业务并满足客户需求。

什么是ISO 27002:2022及其影响是什么?

ISO 27002:2022的发布更新了ISO 27001中存在的控制列表，该列表可追溯到2013年。修订后的控制措施反映了与威胁和当前更佳实践相关的发展，ISO 27002的范围扩大有助于确保风险管理措施的广泛和有效。组织可以使用全面的控制列表来处理他们已经识别的风险或发现潜在的差距-帮助他们在当今企业面临的复杂和不断变化的威胁环境中保持领先一步。

新版本的ISO 27001是否正在开发中?

新版ISO 27001于2022年10月25日发布。以ISO 27002:22概述的新控制为特色，组织将需要重新审视其风险评估，并确定是否需要实施新的风险处理。

如何实施ISO 27701标准

ISO 27701是ISO 27000系列中相对较新的标准。它的引入是为了帮助组织处理数据隐私以及他们的数据保护要求。

该标准基本上将隐私处理控制绑定到ISO 27001上，创建了一个包含一组特定于隐私的需求、控制和目标的PIMS(隐私信息管理系统)。

在这篇博客中，我们将解释ISO 27701的要求是如何工作的，以及如何实现该框架。

什么是ISO 27701 ?为什么它很重要?

ISO 27701由ISO(国际标准化组织)和IEC(国际电工委员会)于2019年创建，旨在解决对数据隐私建议日益增长的需求。

GDPR(通用数据保护条例)、CCPA(加州消费者隐私法案)和纽约SHIELD法案等法规都提到了数据隐私的必要性，但当时还没有关于如何解决这一问题的更佳实践建议。

ISO 27701填补了这一空白，提供了一套组织可以遵循的要求，以确保他们保护人们的隐私。

尽管对标准的遵从并不直接与这些法规联系在一起，但是遵循该框架的组织将拥有适当的部分来满足其法规需求。

在这方面，ISO 27701很像ISO 27001，它提供了数据保护的实用指导。同样，它与GDPR等没有直接关系，但由于它是更佳实践，遵循其建议的组织将满足许多合规要求。

ISO 27701的要求是什么?

为了符合ISO 27701，您必须根据该标准以及相关的和国际法规(如GDPR)来设计、构建和实施PIMS。

PIMS与您的ISMS协同工作，因此您必须首先符合ISO 27001标准，然后才能解决您的隐私要求。

好消息是，已经符合ISO 27001标准的组织只需要完成一些额外的任务。这包括第二次风险评估，以解释新的控制措施。

一旦实施，审核员将通过以下方式评估您的PIMS:

审核你们的文件;

面试员工，确保他们理解你的流程和政策;和

进行测试看看它在实践中是如何工作的。

您可以通过阅读ISO 27701标准来了解哪些控制措施是可用的。它还列出了基于ISO 27001的控制目标和文件要求。

通过ISO 27701认证

获得独立认可的ISO 27701认证是可能的，但只能作为ISO 27001的扩展。这是因为ISO 27001是ISO 27000系列中可认证的标准。

幸运的是，尚未获得认证的组织可以将这两个标准作为单个实现项目来实现。由于隐私需求是遵从性需求的扩展，因此不需要创建单独的管理系统或实现项目。

无论您是希望从头开始您的项目，还是希望将ISO 27701添加到您现有的ISMS中，IT治理都可以帮助您获得所需的专业知识。

我们有两个关于ISO 27701的培训课程。认证的ISO 27701 PIMS领导实施者培训课程使您具备领导PIMS实施项目的能力。

这个为期两天的课程解释了ISO 27701的关键概念、原则和主要要求，并帮助您为认证审核做准备。

您还将了解隐私影响评估，并了解如何根据该标准管理和推动持续改进。

获得ISO 27001认证需要多少费用?

随着公司的发展，你的成本会以很多方式增长——更多的员工，更多的法律保护，等等。其中一个增加的成本是你证明你的业务技术是安全的能力。事实上，您的业务扩展得越多，客户和其他利益相关者在与您开展业务之前就越需要一定的安全标准。

对于许多企业来说，这些要求是他们开始更多地了解ISO 27001合规性和认证的原因。随着您了解的越来越多，总会有一个迫在眉睫的问题:您的ISO 27001认证将花费多少钱?让我们看看所涉及的关键成本以及您可以预期的成本。

‍

获得ISO 27001认证意味着什么?

‍

在我们深入研究具体成本之前，重要的是要了解ISO 27001认证的实际含义。总部位于瑞士的国际标准化组织(ISO)是一个备受尊敬的组织，它制定了包括ISO 27001安全标准在内的各种标准。然而，他们不提供合规性认证。

验证您的ISO 27001合规性的证书是由第三方组织颁发的，这些组织将此作为付费服务执行。重要的是要认识到，当您申请认证时，您将向第三方组织申请，而不是ISO本身。这是ISO 27001认证价格差异很大的部分原因。

虽然ISO不颁发证书，但它确实有一套认证机构应该遵守的标准。它还建议您应确保您的认证提供商在您的获得认可。如果您选择了符合这些标准的认证提供商，您的ISO 27001认证应该被全球的客户和顾客所接受。

‍

ISO 27001认证费用是多少?

‍

在您开始这个过程之前，您想知道您的ISO 27001认证将花费多少，以及它对您的业务是否可行。不出所料，成本将因情况而异。对于拥有复杂系统的大型企业来说，总费用从6000美元到超过4万美元不等。

之所以有如此广泛的范围，部分原因是获得认证涉及到一些成本。这些通常包括:

‍

与评估您当前的信息安全管理体系(ISMS)以确定其是否符合ISO 27001标准相关的成本

建立符合所有ISO 27001标准的安全系统的费用

聘请第三方审核员评估您的ISMS是否符合ISO 27001标准的费用

认证机构收取的任何额外费用

每个成本领域都存在差异。事实上，有许多因素会影响您的ISO 27001认证的总成本。

‍

ISMS的复杂性

ISO 27001是关于您的ISMS的。您的ISMS越复杂，就需要更多的工程和时间来确保它的每个组件正确地遵循ISO 27001中的标准。额外的时间和工程转化为更高的初始成本，以达到法规遵从性，并在将来监视您的系统以保持法规遵从性。

‍

你的组织规模

一般来说，小型企业的ISO 27001认证成本接近成本范围的低端(约6,000美元)，而大型企业的成本更有可能达到40,000美元或更多。这是因为较大的组织有更多的机会出现安全风险。当你必须考虑到更多的雇员和承包商时，访问控制系统和其他安全协议的成本会更高。

‍

您选择的认证组织

正如我们所提到的，ISO不颁发合规认证——认证只由第三方组织和企业提供。正如预期的那样，这将导致成本变化，因为每个组织都可以设置自己的价格点。

每个组织也可能需要不同数量和类型的文件来验证您的合规性，因此这也会影响您的ISO 27001认证成本。例如，有些可能需要比其他审计更广泛和详细的审计。

‍

你的外部审计师

审计是合规性认证过程的重要组成部分，因此它也是成本的关键部分。ISO 27001审核的费用是多少?这取决于你聘请的审计师。与认证提供商一样，每个审核员都可以设定自己的价格，因此您的ISO 27001审核成本将取决于您选择的审核员。

‍

如何降低我的ISO 27001成本?

为向第三国或国际组织传输数据提供适当保障措施的文件

不同类别数据的保留期限

技术和组织安全措施的一般描述

确定您的Data Map是否包含以下有关供应商代表您执行的处理活动的信息

处理者或处理者以及处理者所代表的每个控制者的名称和联系方式，以及，在适用的情况下，控制者或处理者的代表以及数据保护官的名称和联系方式

代表每个控制器执行的处理类别

为向第三国或国际组织传输数据提供适当保障措施的文件

技术和组织安全措施的一般描述

3.

确定处理数据的理由

对于每一类数据和系统/应用程序，您是否根据以下条件之一确定了处理的合法依据?

资料当事人的同意

与资料当事人订立合约

履行法律义务所必需的

为保护数据主体或第三方的切身利益所必需

为履行公共利益或行使赋予管理人的官方权力所必需的

对于控制者或第三方追求合法利益的目的是必要的，除非这些利益被数据主体的权利所压倒

4

对现有的客户和供应商合同进行盘点，以确认包括新的gdp要求的流程条款

审查所有客户合同，以确定他们有适当的合同语言(即带有标准合同条款的数据保护附录)

审查所有范围内的供应商合同，以确定他们是否有适当的合同语言(即带有标准合同条款的数据保护附录)

你们的协议包括下列条款吗?

除非欧盟或成员国法律另有要求，供应商仅应根据书面指示处理个人数据(包括在进行个人数据的国际转移时)

供应商确保获授权处理个人资料的人士须遵守保密承诺或专业或法定的保密义务。

供应商有足够的信息安全、技术和组织措施来支持数据主体的请求或泄露

除非得到要求或授权，供应商不得指定或向任何子处理器披露任何个人数据

供应商应在提供与处理相关的服务结束后删除或返回所有个人数据，并删除现有副本，除非欧盟或成员国法律要求存储个人数据;

供应商提供所有必要的信息，以证明合规性，并允许和有助于审计，包括检查

您是否对处理您的PII的供应商进行了风险评估?

5

确定是否需要进行数据保护影响评估

你的数据处理是否考虑了处理的性质、范围、背景和目的，可能会对自然人的权利和自由造成高风险?

您的处理是否涉及以下任何一项?

自动处理，包括分析，以及产生法律效果的决策的基础

特殊类别的数据或与刑事定罪和犯罪有关的数据

大规模监控公众可进入的区域。

如果上述任何情况属实，您可能需要对现有和新的数据项目进行数据保护影响评估。

6

审查产品和服务设计(包括您的网站或应用程序)，以确保隐私通知链接，营销同意和其他要求得到整合

您是否有一个面向公众的隐私政策，涵盖您所有产品、服务和网站的使用?

发给资料当事人的通知是否包括下列事项?

该组织及其代表的身份和联系方式

资料保护主任的联络资料(如适用)

处理个人资料的目的及处理的法律依据

个人资料的接收人或接收人类别(如有)

有关将个人资料转移至第三国的详情及所采取的适用保障措施

通知还包括以下内容吗?

保留期限，或者如果不可能保留期限，则用于确定保留期限的标准

数据主体权利的存在(即要求提供信息、修改或删除PII)

随时撤回同意的权利

向监管机构提出申诉的权利

提供个人资料是否属法定或合约规定，或属订立合约所必须的规定，以及资料当事人是否有责任提供该等个人资料，以及未能提供该等资料的可能后果

自动化决策的存在，包括分析，以及有关所涉及的逻辑的有意义的信息，以及重要性和后果

你是否有机制让人们改变或撤销同意?

7

更新内部隐私政策以遵守通知义务

更新欧盟员工的内部隐私通知

您是否有管理收集和使用欧盟和英国员工数据的员工隐私政策?

决定你是否需要委任一名资料保障主任，并在需要时委任一名

您是否已经决定是否必须根据以下条件之一指定数据保护官(DPO)(第37条)?

数据处理由公共机构执行

控制器或处理器的核心活动需要对数据主体进行定期和系统的大规模监控

8

如果您从欧盟导出数据，请考虑是否需要遵循机制来覆盖数据传输，例如模型条款

如果您在欧盟或英国境外传输、存储或处理数据，您是否确定了数据传输的法律依据(注意:很可能包含在标准合同条款中)?

你们是否执行并记录了转移影响评估(TIA)?

9

确认您遵守了其他数据主体的权利(即除了通知之外)

您是否有一个明确的流程来及时响应数据主体访问请求(DSAR)(即要求提供信息、修改或删除个人身份信息)?

你是否能够使用清晰易懂的语言，以简洁、透明、易懂和易于理解的形式提供主题信息?

当被要求时，您是否有纠正或删除数据的程序?

对于执法部门强制披露信息，你们有什么内部政策吗?

10

决定你是否需要指定一个欧盟代表，如果需要的话，就指定一个

您是否已指定欧盟代表或根据以下条件之一确定不需要欧盟代表?

数据处理是偶然的

数据处理规模不大

数据处理不包括与刑事定罪和犯罪有关的特殊类别或数据

不会危及数据主体的权利和自由

公共权力机构，公共机构

11

如果在多个欧盟运营，请确定牵头的数据保护机构(DPA)

您是否在不止一个欧盟开展业务?

如果是，您是否指定主要机构的监管机构作为您的主要监管机构?

12

实施员工培训，以证明遵守GDPR原则和数据主体权利

你们是否为员工提供了适当的安全意识和隐私培训?

13

更新内部程序和政策，以确保您能够遵守数据泄露响应要求

您是否创建并实施了事件响应计划，其中包括向欧盟和英国数据主体以及适当的数据当局报告违规行为的程序?

违规报告政策是否符合所有规定的时间表，并包括所有接收方，即当局、控制者和数据主体?

14

实施适当的技术和组织措施，以确保安全级别与风险相适应

这包括假名化/加密、保持机密性、在物理/技术事件发生后恢复访问以及定期测试措施

您是否对静态和传输中的PII实施了加密?

你实施过假名化吗?

您是否实施了适当的物理安全控制?

您是否实施了信息安全政策和程序?

你能清楚地访问欧盟或英国的PII数据吗?

您的技术和组织措施是否确保在默认情况下，只处理每个特定处理目的所必需的个人数据?

15

考虑通过自动化简化GDPR合规性

探索用于自动化安全性和遵从性的工具

将人工数据收集和观察过程转换为连续监测

Iso 27001:2022客户过渡指南

ISO 27001:2022“信息安全、网络安全和隐私保护-信息安全管理体系-要求”于2022年10月发布，将通过三年过渡期取代ISO 27001:2013。所有希望保持ISO 27001认证的组织都需要在2025年10月结束的设定过渡期内过渡到标准的2022版。

NQA的目标是保持一个清晰的过渡方法，便于我们的客户理解和应用。我们的目标是为组织提供指导和工具，以尽可能顺利地从ISO 27001:2013过渡到ISO 27001:2022。

ISO 27001标准的两个版本仍然有效，可以根据以下规则对两个版本进行审核，但应制定计划，使组织在过渡期结束之前完全完成过渡。

详细过渡期

2022年10月25日- ISO/IEC 27001:2022第三版-发布日期

2022年10月31日——过渡期开始

2024年5月1日—在此日期之后，所有初始(新)认证应采用ISO 27001:2022版本，建议所有再认证审核使用此日期之后的ISO 27001:2022版本。

在此日期之前，NQA将继续接受认证申请，并根据ISO 27001:2013标准颁发新的证书。

2025年7月31日-所有过渡审计应在此日期之前进行。

2025年10月31日-过渡期结束

ISO/IEC 27001:2013证书在此日期之后将不再有效。

下载完整的过渡计划(PDF)

ISO 27001:2022变化分析

ISO 27001标准的主体已作出更改，以更好地配合管理体系标准的协调结构(即附件SL)。

值得注意的是，下列要求有所改变:

4.2了解相关方的需求和期望

4.4信息安全管理体系

6.2信息安全目标和实现这些目标的计划

6.3变更策划

8.1运行计划和控制

9.1监视、测量、分析和评价

9.3.2管理评审输入

10的改进

附件A控制已从14个控制目标重新分组为4个广泛的主题，包括:组织、人员、物理和技术控制

附件A内的控件总数为93个，而前一版为114个

但是，以前的一些控制已合并为更广泛的新控制;新增了11项控制，包括:

威胁情报

使用云服务的信息安全

物理安全监控

配置管理

信息删除

数据屏蔽

防止数据泄露

网络过滤

安全代码

此外，ISO 27002:2022确定了5个控制属性，以对控制进行不同的分类;属性包括:

控制类型

信息安全属性

网络安全的概念

操作功能

安全域

ISO 27002:2022还定义了每个单独控制的目的，以更好地解释每个控制的意图

为了确保客户成功完成转型，NQA建议采取以下步骤:

准备您的ISO 27001转版

在进行转版审核之前，组织必须按照ISO 27001:2022的要求对其管理体系进行转版。这应包括任何文档更改，以及任何新的或更改的工艺要求的证据。

值得注意的是，在进行核质量保证(NQA)过渡审核之前，组织必须对新的/变更的要求进行内部审核和管理评审。

组织在正式的过渡审核之前，可由核质量保证(NQA)进行过渡差距评估。这可以与早期的ISO 27001:2013监督一起进行，也可以在过渡审核之前的任何其他独立时间进行。

我们制作了《差距指南》和《差距分析工具》，以帮助您顺利过渡，因此请下载这些文件，了解更多信息并开始过渡。

您的ISO 27001转版审核

所有组织都必须进行过渡审核，以确认修订后标准的实施。过渡审计可以与现有的审计一起进行，也可以是单独的审计。

如果转版审核与现有的监督(即转版监督)或再认证审核(即转版再评估)同时进行，审核持续时间可能会增加，以涵盖ISO 27001:2022引入的新要求/概念。

如果对过渡审计进行独立审计，则应根据单个组织计算持续时间。

注:具体的审核过渡时间取决于组织的实际情况，包括组织的规模和ISMS的复杂程度。您的核质量保证客户代表将告知您具体的过渡审核持续时间

修订ISO 27001:2022证书

与任何审核一样，在过渡审核期间发现的不符合项将需要提交并批准纠正措施。在纠正措施批准后，将颁发更新的ISO 27001:2022认证。

更新后的ISO 27001:2022证书的签发和有效性如下:

过渡监督——组织现有的“有效期至日期”将保持不变。

过渡期重新评估-更新后的3年期间将发布新的“有效期至日期”。

独立过渡-组织现有的“有效期至日期”将保持不变。

核质量保证(NQA) ISO 27001:2022过渡检查表

核质量保证局(NQA)正在制定ISO 27001:2022过渡检查表，该检查表为根据ISO 27001:2022的要求评估你们的管理体系提供了一个简单的框架。一旦发布，我们鼓励组织使用此检查表作为工具，以促进和记录其管理体系内的变更，并保留此文件以供过渡审核时审查。

请在未来几周内查看或注册InTouch，我们的定期通讯，以获得其出版的通知。

额外的支持

核质量保证团队将在整个过渡过程中为您提供支持。如果您有任何问题或需要任何帮助，我们可以支持您:

•技术咨询

有任何问题请打电话给我们。csr精通许多过渡方面，可以解决许多初始问题。如果您需要更深入的答案，您可以拨打由cto和业务部门领导组成的NQA技术团队的电话。

•过渡培训

NQA将以点播(在线学习)和现场(虚拟)两种形式提供27001:2022过渡培训。请访问NQA网站进行注册。

•外部援助(培训/咨询)

虽然NQA不提供咨询服务，但CSR可以为NQA了解的许多知名培训和咨询公司提供联系。

•过渡差距评估

CSR可以安排过渡差距评估，以确定在您的过渡审核之前符合ISO 27001:2022要求的水平。