SO/IEC27002:2022已于2022年2月15日發(fā)布,為使ISO/IEC27001的附錄A與ISO/IEC27002:2022一致,新版ISO/IEC27001預(yù)計(jì)在2022年10月對(duì)外公布。企業(yè)需了解相關(guān)內(nèi)容以積極應(yīng)對(duì)新版ISO/IEC27001的發(fā)布,SGS老師對(duì)關(guān)注度較高的話題進(jìn)行了詳細(xì)解答。
問(wèn)題1:對(duì)于GDPR的自我聲明中,一般會(huì)側(cè)重ISO/IEC27001,而ISO/IEC27701是輔助性,這樣的理解對(duì)嗎?
眾所周知,ISO/IEC27001是保護(hù)信息的保密性、完整性和可用性的。那么對(duì)于個(gè)人數(shù)據(jù)也是如此,使用ISO/IEC27001來(lái)保護(hù)個(gè)人數(shù)據(jù)不被泄露、不被破壞和可用是很好的。但是,個(gè)人數(shù)據(jù)保護(hù)不僅僅是防止個(gè)人數(shù)據(jù)被泄露和被破壞,還要關(guān)注個(gè)人數(shù)據(jù)處理的的原則問(wèn)題和數(shù)據(jù)主體的權(quán)利等問(wèn)題,例如個(gè)人數(shù)據(jù)處理的目的限制、最小化原則,數(shù)據(jù)主體的知情權(quán)、訪問(wèn)權(quán)等。為了滿足個(gè)人數(shù)據(jù)處理原則和滿足數(shù)據(jù)主體的權(quán)利等問(wèn)題,ISO/IEC27001沒(méi)有提供這方面的控制措施,而ISO/IEC27701提供了對(duì)應(yīng)的控制措施。
問(wèn)題2:新版ISO/IEC27001包含了隱私保護(hù)部分,那是否可以代替ISO/IEC27701標(biāo)準(zhǔn)呢?ISO/IEC27701還需要認(rèn)證嗎?
雖然ISO/IEC27001 FDIS 2022包含了3個(gè)隱私控制:信息刪除,數(shù)據(jù)脫敏和數(shù)據(jù)防泄漏,但是還不足以代替ISO/IEC27701在個(gè)人信息保護(hù)方面的作用。ISO/IEC27701:2019標(biāo)準(zhǔn)在個(gè)人信息處理方面,針對(duì)個(gè)人信息控制者增加了31個(gè)控制項(xiàng),針對(duì)個(gè)人信息處理者增加了18個(gè)控制項(xiàng),這些增加的控制項(xiàng)都是為了安全地處理個(gè)人信息,確保個(gè)人信息的處理合規(guī)以及滿足個(gè)人主體的權(quán)利。因此,ISO/IEC27001不能替代ISO/IEC27701,如果您有隱私保護(hù)的相關(guān)需求,建議通過(guò)ISO/IEC27701的認(rèn)證。
問(wèn)題3:已經(jīng)培訓(xùn)了ISO/IEC27001:2013版的,2023年做認(rèn)證還需要重新培訓(xùn)嗎?
如果選擇在2023年做ISO/IEC27001認(rèn)證,并且當(dāng)認(rèn)證時(shí)ISO/IEC27001:2022版已經(jīng)發(fā)布,企業(yè)認(rèn)證有兩個(gè)選擇:認(rèn)證ISO/IEC27001:2013版或者認(rèn)證2022版。如果選擇繼續(xù)認(rèn)證2013版,那么暫時(shí)可以不需要2022版的培訓(xùn),但是在2022版標(biāo)準(zhǔn)發(fā)布后3年內(nèi)要將2013版證書轉(zhuǎn)換成2022版證書。如果選擇認(rèn)證2022版,那么需要考慮2022版的要求,例如更新信息安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置計(jì)劃,更新適用性聲明(SOA),更新政策和程序等等。
問(wèn)題4:信息安全策略集要如何更新呢?
ISO/IEC27001 FDIS 2022中新增加了11個(gè)控制項(xiàng),針對(duì)這個(gè)11個(gè)控制項(xiàng),企業(yè)可考慮是否需要增加新的策略,如需增加,在現(xiàn)有策略集中加入新的策略,如不需增加,保持現(xiàn)有的策略集即可。
問(wèn)題5:新版ISO/IEC27001審查風(fēng)險(xiǎn)評(píng)價(jià)和處置計(jì)劃方法上有變化,那也就資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)價(jià)方法會(huì)有變化嗎?
新版ISO/IEC27001風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置的方法沒(méi)有變化,只是在進(jìn)行信息安全風(fēng)險(xiǎn)處置時(shí)可選的控制措施有變化,所以企業(yè)現(xiàn)在使用的信息安全風(fēng)險(xiǎn)評(píng)估方法基本不受影響。
國(guó)有第三方計(jì)量檢測(cè)機(jī)構(gòu)
廣州廣微計(jì)量檢測(cè)技術(shù)有限公司
- 我們的能力
新聞資訊INFORMATION CENTER- 當(dāng)前位置:
首頁(yè)
>資訊中心
>技術(shù)資料
>新版ISO/IEC27001問(wèn)題集錦
新版ISO/IEC27001問(wèn)題集錦
1197
2022-10-07
- 服務(wù)范圍
計(jì)量檢測(cè) +
化學(xué)儀器計(jì)量
熱學(xué)儀器計(jì)量
力學(xué)儀器計(jì)量
醫(yī)學(xué)專用儀器計(jì)量
幾何量?jī)x器計(jì)量
機(jī)動(dòng)車專用儀器計(jì)量
光學(xué)儀器計(jì)量
氣象海洋專用儀器計(jì)量
其他儀器計(jì)量
潔凈檢測(cè)
標(biāo)準(zhǔn)物質(zhì) +
氣體標(biāo)準(zhǔn)物質(zhì)
液體標(biāo)準(zhǔn)物質(zhì)
3Q驗(yàn)證 +
3Q驗(yàn)證
期間核查 +
期間核查
技術(shù)咨詢培訓(xùn) +
計(jì)量校準(zhǔn)員培訓(xùn)
計(jì)量管理員培訓(xùn)
- 聯(lián)系我們
- 聯(lián)系人:蔡工(總部)
- 手機(jī):13676211112
- 微信號(hào):GDPB2018
- 郵箱:GDPB2018@163.com
- 地址:廣州市黃埔區(qū)南翔二路1號(hào)自編一棟401房之B01-02室
友情鏈接
版權(quán)所有 ? 廣州廣微計(jì)量檢測(cè)技術(shù)有限公司
掃碼關(guān)注“廣微計(jì)量”
前臺(tái)電話:020-82176919
客服電話:13676211112
地址:廣州市黃埔區(qū)南翔二路1號(hào)自編一棟401房之B01-02室
- 計(jì)量檢測(cè)
- 標(biāo)準(zhǔn)物質(zhì)
- 3Q驗(yàn)證
- 期間核查
- 技術(shù)咨詢培訓(xùn)
