ISO/IEC 27001: 2022主要变化
(2)4 组织环境/4.1 理解组织及其环境
(3)4 组织环境/4.2 理解相关方的需求和期望
(4)4 组织环境/4.3 确定信息安全管理体系范围
(5)4 组织环境/4.4 信息安全管理体系
(6)5 领导作用/5.1 领导和承诺
(7)5 领导作用/5.2 方针
(8)5 领导作用/5.3 组织的角色、职责和权限
(9)6 策划/6.1 应对风险和机会的措施/6.1.1 总则
(10)6 策划/6.1 应对风险和机会的措施/6.1.2信息安全风险评估
(11)6 策划/6.1 应对风险和机会的措施/6.1.3 信息安全风险处置
(12)6 策划/6.2 信息安全目标及其实现策划
(13)6 策划/6.3 变更的策划
(14)7 支持/7.1 资源
(15)7 支持/7.2 能力
(16)7 支持/7.3 意识
(17)7 支持/7.4 沟通
(18)7 支持/7.5 文件化信息
(19)8 运行
(20)9 绩效评价/9.1 监视、测量、分析和评价
(21)9 绩效评价/9.2 内部审核
(22)9 绩效评价/9.3 管理评审
(23)10 改进/10.1 持续改进
(24)10 改进/10.2 不符合及纠正措施
(25)附录A.5 组织控制/A.5.1 信息安全策略
(26)附录A.5 组织控制/A.5.2 ~ A.5.6
(27)附录A.5 组织控制/A.5.7 威胁情报
(28)附录A.5 组织控制/A.5.8 项目管理中的信息安全
(29)附录A.5 组织控制/A.5.9 ~ A.5.14
(30)附录A.5 组织控制/A.5.15 ~ A.5.18
(31)附录A.5 组织控制/A.5.19 ~ A.5.23
(32)附录A.5 组织控制/A.5.24 ~ A.5.28
(33)附录A.5 组织控制/A.5.29 & A.5.30
(34)附录A.5 组织控制/A.5.31 ~ A.5.37
(35)附录A.6 人员控制
(36)附录A.7 物理控制
(37)附录A.8 技术控制/A.8.1 ~ A.8.5
(38)附录A.8 技术控制/A.8.6 ~ A.8.9
(39)附录A.8 技术控制/A.8.10 ~ A.8.13
(40)附录A.8 技术控制/A.8.14 ~ A.8.19
(41)附录A.8 技术控制/A.8.20 ~ A.8.24
(42)附录A.8 技术控制/A.8.25 ~ A.8.34
ISO/IEC 27001:2022延续了ISO/IEC 27001:2013基本架构和基本思路,因此总体看来,ISO/IEC 27001:2022没有太大变化,虽然附录部分调整比较大,但是基本上是在原来的基础变动的,附录本身属于底层执行的要求,也没有增加太多新东西。
