為什麼 ISO 27001 要改版?
ISO 27001:2022 於 2022 年 10 月正式發布,距上一版(2013年)已近十年。隨著雲端運算、遠端工作與供應鏈攻擊日趨普遍,原有的控制措施已無法完整覆蓋現代資安威脅,此次改版正是為了反映這些變化。
架構調整:從 14 章節合併為 4 大主題
附錄 A 的控制措施從原本 114 項精簡為 93 項,並重新分組為四大類別:
- 組織控制(Organizational):37 項
- 人員控制(People):8 項
- 實體控制(Physical):14 項
- 技術控制(Technological):34 項
新增 11 項控制措施
以下為 2022 版全新加入的控制項,代表目前最受關注的資安議題:
- 威脅情資(Threat Intelligence)
- 雲端服務資訊安全(Information Security for Use of Cloud Services)
- ICT 業務持續準備(ICT Readiness for Business Continuity)
- 實體安全監控(Physical Security Monitoring)
- 組態管理(Configuration Management)
- 資訊刪除(Information Deletion)
- 資料遮罩(Data Masking)
- 資料外洩預防(Data Leakage Prevention)
- 監控活動(Monitoring Activities)
- 網站過濾(Web Filtering)
- 安全編碼(Secure Coding)
企業升版時程建議
ISO 官方給予現有認證企業 3 年過渡期(至 2025 年 10 月)完成升版。建議分三階段進行:
第一階段(0~3個月):差距分析與新增控制措施盤點
第二階段(3~8個月):政策文件更新與員工教育訓練
第三階段(8~12個月):內部稽核與正式換版稽核
結語
ISO 27001:2022 的升版不只是換一張證書,更是企業資安管理成熟度的提升契機。若您尚未評估升版計畫,建議儘早啟動差距分析,避免過渡期截止前的認證壓力。
