文章总结： 本文解析ISO/IEC27001:2022换版指南，强调2025年10月前完成。核心包括威胁情报、数据脱敏等新增控制项。文章列出15个关键条款的应对策略，如修订管理评审程序及新增配置安全规范，并建议旧版薄弱企业全面重构。 综合评分： 45 文章分类： 技术标准,安全建设,数据安全,软文广告

ISO/IEC 27001: 2022 换版不求人秘笈

原创

27001.CN

Sky的安全观

2025年4月1日 07:40 广东

点击上方蓝色字“Sky的安全观”关注我们

>>ISO系列标准解读合集<<

ISO/IEC 27001: 2022 标准详解与实施合集（共42篇）

ISO/IEC 27001: 2013 标准详解与实施合集（共47篇）

ISO/IEC 20000-1: 2018 标准详解与实施合集（共48篇）

ISO 22301: 2019 标准详解与实施合集（共38篇）

ISO 9001: 2015 标准详解与实施合集（共45篇）new!

ISO 14001: 2015 标准详解与实施合集（共26篇）new!

ISO 45001: 2018 标准详解与实施合集（共30篇）new!

>>更多精彩合集，敬请期待<<

在2025年10月25日之前，所有ISO/IEC 27001: 2013认证证书，都必须换版成ISO/IEC 27001: 2022认证证书。

以前我也说过很多次，很多人，特别是那些只关注ISO/IEC 27001附录A的那些人，面对ISO/IEC 27001新版标准是一脸懵逼，以为新版变化很大，换版会有很多工作量。这些人之所以会有这样的想法，是因为他们本身没对标准进行理解，只看表面的文字和结构。

由于以上的原因，很多人，这其中包括很多咨询顾问，面对新版标准的换版，根本讲不清楚要做哪些具体的工作，可能还是拿着以前的那套资料继续进行忽悠，毕竟这种事情之前就是这样做的（很多资料还是ISO/IEC 27001: 2005版的）。

ISO/IEC 27001: 2022新版标准整个框架是没有变化的（虽然附录A的结构变化很大，但是主要内容变化不多），这就决定了，换版工作不会有太多的工作量，而仅仅是局部的微调，包括体系文件和运行记录的微调。

要确定换版工作的内容，我们首先需要确定ISO/IEC 27001: 2022新版标准变化比较大的条款，这些条款会直接影响到企业的实施，而对于哪些轻微变化的条款，不会影响到企业信息安全管理体系实施的，则在换版过程中不需要关注。

| | | | | — | — | — | | ISO/IEC 27001: 2022变化较大的条款（会影响实施的） | | | | 序号 | 条款 | 变化描述 | | 1 | 6.3 变更的策划 | 新增条款 | | 2 | 9.3 管理评审 | 增加了c) | | 3 | 10.1持续改进 | 10.1和10.2位置对调 | | 4 | 10.2 不符合及纠正措施 | 10.1和10.2位置对调 | | 5 | A.5.7 威胁情报 | 新增的控制项 | | 6 | 5.23 使用云服务的信息安全 | 新增的控制项 | | 7 | A.5.30 信息与通信技术（ICT）的业务连续性准备 | 新增的控制项 | | 8 | A.7.4 物理安全监视 | 新增的控制项 | | 9 | A.8.9 配置管理 | 新增的控制项 | | 10 | A.8.10 信息删除 | 新增的控制项 | | 11 | A.8.11 数据脱敏 | 新增的控制项 | | 12 | A.8.12 数据泄露防护 | 新增的控制项 | | 13 | A.8.16 监视活动 | 新增的控制项 | | 14 | A.8.23 网页过滤 | 新增的控制项 | | 15 | A.8.28 安全编码 | 新增的控制项 |

确定了以上变化较大的条款后，接下来，我们便是要确定换版的应对对策。

| | | | | — | — | — | | ISO/IEC 27001: 2022变化较大的条款换版应对对策 | | | | 序号 | 条款 | 换版应对对策 | | 1 | 6.3 变更的策划 | 新增《信息安全变更管理程序》，若原来有相应的文件，只要在文件增加信息安全管理体系变更（如文件、职责和权限、流程等）的流程即可，然后按照文件输出相应的记录。 | | 2 | 9.3 管理评审 | 修改《管理评审管理程序》，在输入内容中增加 9.3 c）要求的内容，同时更新相关记录，如管理评审计划，管理评审报告等 | | 3 | 10.1持续改进 | 旧版10.1是不符合及纠正措施，需要更新信息安全管理手册，内审检查表中的条款号 | | 4 | 10.2 不符合及纠正措施 | 旧版10.2是持续改进，需要更新信息安全管理手册，内审检查表中的条款号 | | 5 | A.5.7 威胁情报 | 新增《威胁情报管理程序》，并输出相应的记录，如威胁情报分析报告，威胁情报涉及的资产整改记录等 | | 6 | 5.23 使用云服务的信息安全 | 在《采购和供应链管理程序》中，增加云服务这类特殊供应商的管理要求，并输出相应的记录 | | 7 | A.5.30 信息与通信技术（ICT）的业务连续性准备 | 在《业务连续性安全管理程序》中增加ICT连续性准备要求，如机房火灾、机房断电，服务器硬件故障，服务器系统故障等应急方案的制定，演练要求等 | | 8 | A.7.4 物理安全监视 | 在《物理和环境安全管理程序》中，增加对物理区域的安全监视要求 | | 9 | A.8.9 配置管理 | 新增《配置安全管理规范》，明确配置安全管理的类型，流程等要求，并输出相应的记录 | | 10 | A.8.10 信息删除 | 在《数据安全管理规范》中，增加信息删除要求 | | 11 | A.8.11 数据脱敏 | 在《数据安全管理规范》中，增加数据脱敏要求 | | 12 | A.8.12 数据泄露防护 | 在《数据安全管理规范》中，增加数据防泄漏要求 | | 13 | A.8.16 监视活动 | 在《基础设施使用和运维安全管理程序》中，增加监视活动要求 | | 14 | A.8.23 网页过滤 | 在《网络安全管理程序》中，增加网页过滤要求，并输出过滤网页清单等记录 | | 15 | A.8.28 安全编码 | 在《软件开发安全管理程序》中，增加安全编码要求，并输出各类编码语言的安全编码规范，代码检测记录等 |

在换版过程中，除了要有以上的应对策略外，由于新版附录A的结构，相较于旧版，全部被打乱了，所以与附录A有关的相关记录，如适用性声明（SOA），内审检查表等，必须重新进行更新。

因为在信息安全风险评估中，会使用到适用性声明（SOA），所以如果风险评估的记录中涉及到了附录A的条款号，也必须对风险评估的记录进行更新。

以上的换版的应对策略，仅仅对一些原先旧版做的比较完善的企业有效，如果原来旧版就是捣糨糊，如像上篇文章写道的 ISO/IEC 27001咨询辅导服务的四个层次，仅仅获得了“层次一”的效果，不建议使用以上应对策略进行进行换版，建议重新寻找可靠的咨询进行全面的提升辅导（纯粹想拿证的企业除外）。

如果看完本篇文章，对于ISO/IEC 27001: 2022 换版还有疑惑的，可以选择以下附加服务：

| | | | | | — | — | — | — | | 服务类型 | 服务说明 | 服务费用 | 备注 | | 服务一 | 提供本篇文章换版应对策略涉及的文件：《信息安全变更管理程序》《威胁情报管理程序》《物理和环境安全管理程序》《配置安全管理规范》《数据安全管理规范》《基础设施使用和运维安全管理程序》《网络安全管理程序》《软件开发安全管理程序》 | 68元 | 提供Word文档，可以在线解答相应的疑惑 | | 服务二 | 按照本篇文章中的应对对策，现场指导换版工作（1人天） | 2000元+交通费 | 只接受个人劳务合作模式支付费用，对公的话费用会增加很多 | | 服务三 | 旧版没有做好，进行全面提升 | 面议 | 可以以个人劳务合作模式，或者另找咨询机构进行合作，但服务内容和服务质量是不变的 |

另外本人正在寻找合作的咨询机构，有意向合作的咨询机构也可以联系我。

>>ISO标准过程和文件清单<<

ISO 9001: 2015 过程和文件清单

IATF 16949：2016 过程和文件清单

GB/T 23001: 2017 两化融合管理体系过程和文件清单

ISO/IEC 27701: 2019 过程和文件清单

ISO/IEC 27001: 2022 过程和文件清单

ISO 22301: 2019 过程和文件清单

ISO 14001 和ISO 45001 过程和文件清单

ISO/IEC 42001: 2023 过程和文件清单

ISO 50001: 2018 过程和文件清单

ISO/IEC 20000-1: 2018 过程和文件清单

ISO/SAE 21434: 2021过程和文件清单

ISO 22000: 2018 过程和文件清单

ISO 13485: 2016 过程和文件清单

ISO 37301: 2021 过程和文件清单 new!

GB/T  29490 — 2023 过程和文件清单 new!

>>更多精彩清单，敬请期待<<

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Sky的安全观 《ISO/IEC 27001: 2022 换版不求人秘笈》