ISO/IEC27001:2022信息安全体系认证有哪些要求

什么是ISO/IEC 27001:2022？

ISO/IEC 27001:2022提供了在组织内建立、实施、维护和改进信息安全管理系统 (ISMS) 的要求。ISMS 是指防止未经授权使用信息（尤其是电子数据）的做法。该标准还包括评估和处理组织信息安全风险的要求。ISO/IEC 27001:2022中规定的要求旨在适用于所有组织。

ISO/IEC 27001:2022有哪些变化？ 

ISO/IEC 27001:2022修订了 2013 年发布的同一国际标准的第二版。其文本已更改，以与管理体系标准和ISO/IEC27002:2022 的协调结构保持一致。

什么是ISO/IEC 27002:2022？

ISO/IEC 27002:2022信息安全，网络安全和隐私保护-信息安全控制作为指导文件和参考点，供组织根据 ISO/IEC27001 确定和实施 ISMS 中安全风险处理的控制措施。这些控制措施包括政策、规则、流程、程序、组织结构以及软件和硬件功能。

在家工作如何影响网络犯罪？

 COVID-19 大流行迫使企业适应远程工作。这扩大了网络安全威胁的范围，以针对在家工作的员工。在家工作的员工面临更大的网络安全威胁风险，因为家庭连接不如办公室安全。

以下数据表明网络犯罪分子利用远程工作的员工： 

47% 在家工作的人曾是诈骗的受害者 

自大流行开始以来，25% 的员工注意到公司电子邮件中的欺诈性电子邮件、垃圾邮件和网络钓鱼企图有所增加。

自 2020 年 2 月底以来，  网络钓鱼电子邮件激增了 600% 以上

远程工作使数据泄露的平均成本增加了 137,000 美元 

只要远程工作是导致数据泄露的原因，平均数据泄露成本就会增加超过 100 万美元。

ISO/IEC 27001:2022认证有哪些要求？

 关于其信息安全管理体系 (ISMS)，所有感兴趣的组织应确定以下内容： 

1.背景：与其目的相关并影响其实现 ISMS 能力的外部和内部问题。 

2.需求：将通过 ISMS 解决的相关方的要求。 

3.范围：边界和适用性。 

4.风险评估：识别、分析、评估信息风险，并产生一致和有效的结果。 

5.风险处理：实施信息安全风险处理计划所必需的控制措施。 

6.目标：信息安全目标是可测量的、沟通的、监视的、更新的、记录的，并且与相关策略一致。

7.能力：在其控制下从事影响其信息安全绩效的工作的人员的必要能力。 

8.意识：在组织控制下工作的人员应了解信息安全政策及其对 ISMS 有效性的贡献。 

9.沟通：内部和外部沟通。 内部审核：按计划的时间间隔进行的内部审核，以提供有关 ISMS 是否符合组织自身要求和ISO/IEC 27001:2022中的要求的信息。

10.管理评审：最高管理者应按计划的时间间隔评审组织的 ISMS，以确保其持续的适宜性、充分性和有效性。 

11.改进：持续改进适宜性、充分性。和有效性以及确定不合格和纠正措施。

ISO/IEC 27001认证服务：

为了证明遵守 ISO/IEC 27001，组织可以获得国际标准要求的认证，例如那些根据 ISO/IEC 27001 对组织进行认证的机构，通过国家认证委员会 (ANAB) 的认证保持较高的信任度。