게시일 : 2023.04.24
ISO/IEC 27001:2022이 업데이트 되었습니다.
기존 2013에서 2022의 변경에 따른 전환 심사 관련 사항 및 주요 변경 내용은 다음과 같습니다.
업무에 참고하시기 바랍니다.
1. 전환 기간
ISO 27001:2022로의 전환 기간은 3년(2022.11.01~2025.10.31) 입니다.
전환 심사는 사후, 갱신 또는 기타 심사 시에도 가능하며 심사일수가 추가될 수 있습니다.
다만, 2024년 5월 1일 부터는 최초심사와 갱신 심사만 가능합니다.
2. 주요 변경 내용 요약
1) Main Contents 주요 변경 내용
- 4.2 c) 신설 - ISMS을 통해 처리되는 요구사항 관련 내용 추가
- 4.4 변경 - 프로세스와 상호작용을 포함하여야함을 명시
- 5.3 변경 - 책임과 권한이 조직 내에서 할당되도록 명시
- 6.3 신설 - 변경 계획
- 7.4 d) 변경 - d, e가 d)의사소통 방법으로 병합
- 8.1 변경 - 프로세스 기준 정의 내용 명시
- 9.2 변경 - 9.2.1~2으로 세분화
- 9.3 변경 - 9.3.1~3으로 세분화
- 10.1, 10.2 순서 변경
2) Annex A 통제항목 주요 변경 내용(114개의 통제항목이 93개로 감소)
- 항목 35개 기존 유지
- 항목명 23개 변경
- 항목 57 → 24개 병합
- 항목 11개 신설
: A.5.7 위협 인텔리전스 Threat intelligence
: A.5.23 클라우드 서비스 이용을 위한 정보보안 Information security for use of cloud services
: A.5.30 비즈니스 연속성을 위한 ICT 준비 ICT readiness for business continuity
: A.7.4 물리적 보안 모니터링 Physical security monitoring
: A.8.9 구성 관리 Configuration management
: A.8.10 정보 삭제 Information deletion
: A.8.11 데이터 마스킹 Data masking
: A.8.12 데이터 유출 방지 Data leakage prevention
: A.8.16 모니터링 활동 Monitoring activities
: A.8.23 웹 필터링 Web filtering
: A.8.28 보안 코딩 Secure coding
3) Annex A 통제 그룹 4개로 통일(기존 14개, A.5~A.18)
- A.5 조직 Organizational (37 controls)
- A.6 사람 People (8 contorols)
- A.7 물리적 Physical (14 controls)
- A.8 기술적 Technological (34 controls)
4) 규격명 변경
- (변경전) Information technology - security techniques - Information security management systems - Requirements
- (변경후) Information security, cybersecurity and privacy protection — Information security management systems
5) 용어 변경
- '국제 표준 international standard' → '문서 document' 단어 변경 및 그 외 일부 용어 변경
출처 : https://www.iso.org/standard/27001
게시일 : 2023.04.24
ISO/IEC 27001:2022이 업데이트 되었습니다.
기존 2013에서 2022의 변경에 따른 전환 심사 관련 사항 및 주요 변경 내용은 다음과 같습니다.
업무에 참고하시기 바랍니다.
1. 전환 기간
ISO 27001:2022로의 전환 기간은 3년(2022.11.01~2025.10.31) 입니다.
전환 심사는 사후, 갱신 또는 기타 심사 시에도 가능하며 심사일수가 추가될 수 있습니다.
다만, 2024년 5월 1일 부터는 최초심사와 갱신 심사만 가능합니다.
2. 주요 변경 내용 요약
1) Main Contents 주요 변경 내용
- 4.2 c) 신설 - ISMS을 통해 처리되는 요구사항 관련 내용 추가
- 4.4 변경 - 프로세스와 상호작용을 포함하여야함을 명시
- 5.3 변경 - 책임과 권한이 조직 내에서 할당되도록 명시
- 6.3 신설 - 변경 계획
- 7.4 d) 변경 - d, e가 d)의사소통 방법으로 병합
- 8.1 변경 - 프로세스 기준 정의 내용 명시
- 9.2 변경 - 9.2.1~2으로 세분화
- 9.3 변경 - 9.3.1~3으로 세분화
- 10.1, 10.2 순서 변경
2) Annex A 통제항목 주요 변경 내용(114개의 통제항목이 93개로 감소)
- 항목 35개 기존 유지
- 항목명 23개 변경
- 항목 57 → 24개 병합
- 항목 11개 신설
: A.5.7 위협 인텔리전스 Threat intelligence
: A.5.23 클라우드 서비스 이용을 위한 정보보안 Information security for use of cloud services
: A.5.30 비즈니스 연속성을 위한 ICT 준비 ICT readiness for business continuity
: A.7.4 물리적 보안 모니터링 Physical security monitoring
: A.8.9 구성 관리 Configuration management
: A.8.10 정보 삭제 Information deletion
: A.8.11 데이터 마스킹 Data masking
: A.8.12 데이터 유출 방지 Data leakage prevention
: A.8.16 모니터링 활동 Monitoring activities
: A.8.23 웹 필터링 Web filtering
: A.8.28 보안 코딩 Secure coding
3) Annex A 통제 그룹 4개로 통일(기존 14개, A.5~A.18)
- A.5 조직 Organizational (37 controls)
- A.6 사람 People (8 contorols)
- A.7 물리적 Physical (14 controls)
- A.8 기술적 Technological (34 controls)
4) 규격명 변경
- (변경전) Information technology - security techniques - Information security management systems - Requirements
- (변경후) Information security, cybersecurity and privacy protection — Information security management systems
5) 용어 변경
- '국제 표준 international standard' → '문서 document' 단어 변경 및 그 외 일부 용어 변경
출처 : https://www.iso.org/standard/27001