ISO 27001:2022 於 2022 年 10 月正式發布,是自 2013 年以來最重大的改版。持有 ISO 27001:2013 認證的企業,必須在 2025 年 10 月 31 日前完成轉版稽核,否則認證將自動失效。
主要改版重點
Annex A 控制措施全面重組
舊版 114 項控制措施重組為 93 項,分類從原本的 14 大類調整為 4 大類:組織控制、人員控制、實體控制、技術控制。
11 個全新控制措施
新增的 11 項控制措施反映了近年資安威脅的演變,包括:
- 威脅情報(5.7)
- 雲端服務資訊安全(5.23)
- ICT 業務持續性準備(5.30)
- 實體安全監控(7.4)
- 資料遮蔽(8.11)
- 資料洩漏預防(8.12)
- 監控活動(8.16)
- 網站過濾(8.23)
- 安全程式碼(8.28)
轉版行動建議
即戰力建議持有舊版認證的企業盡快啟動轉版評估,建議至少預留 4–6 個月時間:
- 差距分析:對照新舊版本,識別缺口控制措施
- 政策更新:修訂資訊安全政策與 SoA(適用性聲明)
- 員工培訓:針對新增控制措施進行意識培訓
- 內部稽核:驗證新版要求的落實程度
- 轉版稽核:預約認可驗證機構進行正式轉版稽核