ISO 27001:2022 新版改版重點:控制措施變更與轉版時程完整解析
ISO 27001:2022 新版改版重點:控制措施變更與轉版時程完整解析
2022 年 10 月,ISO 27001 發布了睽違 9 年的重大改版。
如果你的公司持有 2013 版證書,必須在 2025 年 10 月 31 日前完成轉版。
時間不多了。
這篇文章會告訴你 2022 版改了什麼、該怎麼準備轉版。
完整的 ISO 27001 標準介紹,請參考 ISO 27001 完整指南。
改版背景與時程
為什麼要改版
ISO 27001:2013 已經用了 9 年。
這 9 年間,資安威脅環境發生了巨大變化:
| 2013 年的情況 | 2022 年的情況 |
|---|---|
| 雲端剛起步 | 雲端成為主流 |
| 行動裝置還不普及 | 遠端工作成為常態 |
| 勒索軟體少見 | 勒索攻擊泛濫 |
| 資料外洩偶發 | 資料外洩頻繁發生 |
| 供應鏈攻擊罕見 | 供應鏈攻擊成為重大威脅 |
舊版的控制措施已經無法有效應對新型態的威脅。
改版時間軸
| 時間 | 事件 |
|---|---|
| 2022 年 2 月 | ISO 27002:2022 先發布 |
| 2022 年 10 月 | ISO 27001:2022 正式發布 |
| 2023 年 4 月 | 認證機構開始提供 2022 版稽核 |
| 2025 年 10 月 31 日 | 2013 版證書全面失效 |
轉版期限(2025年10月)
這是最重要的日期:2025 年 10 月 31 日。
在這之前:
- 所有 2013 版證書必須轉換成 2022 版
- 或者證書會自動失效
對企業的影響:
- 客戶可能不再承認你的證書
- 無法參與要求 ISO 27001 的標案
- 需要重新走完整的認證流程(更花錢)
建議時程:
| 你目前的狀況 | 建議 |
|---|---|
| 還沒開始準備 | 立刻開始 |
| 證書在 2025 年到期 | 可以在換證時一併轉版 |
| 證書在 2025 年後到期 | 可以提前申請轉版稽核 |
條文本文主要變更
條文本文(Clause 4-10)的變動不大,主要是微調和強化。
Clause 4-10 調整重點
| 條文 | 變更內容 |
|---|---|
| Clause 4.2 | 新增「利害關係人需求可透過 ISMS 滿足」的要求 |
| Clause 4.4 | 明確提及需考慮「流程及其相互作用」 |
| Clause 5.3 | 強化「ISMS 相關角色的權責」說明 |
| Clause 6.2 | 目標規劃需更具可監控性 |
| Clause 6.3 | 新增:ISMS 變更的規劃 |
| Clause 7.4 | 溝通的「如何溝通」要求更明確 |
| Clause 8.1 | 強調「流程準則」和「變更控制」 |
| Clause 9.3 | 管理審查輸入項新增「利害關係人需求變化」 |
| Clause 10.1 | 將不符合處理與持續改進合併說明 |
重點: 條文本文的變動主要是精簡和澄清用語,核心框架沒有改變。
新增「計劃變更」要求
Clause 6.3 是全新增加的要求。
內容重點:
當 ISMS 需要變更時,企業必須以「有計劃的方式」進行變更。
需要考慮的項目:
- 變更的目的與潛在後果
- ISMS 的完整性
- 資源的可用性
- 責任與權限的分配
白話說: 不能想改就改,要有規劃、有評估才能動。
風險處理強化說明
Clause 6.1.3 的風險處理要求更加明確。
2022 版要求:
- 風險處理選項要與風險評鑑結果連結
- 選擇控制措施時,要「考慮」附錄 A(而非「比對」)
- 控制措施可以來自任何來源,不限於附錄 A
意義: 企業可以更彈性地選擇控制措施,只要能有效處理風險即可。
附錄 A 控制措施變更
這是 2022 版最大的變動。
四大主題重新分類
2013 版把 114 項控制措施分成 14 章節。 2022 版重新歸類成 4 大主題。
| 主題 | 控制措施數量 | 涵蓋範圍 |
|---|---|---|
| 組織控制 | 37 項 | 政策、角色、資產、存取、供應商 |
| 人員控制 | 8 項 | 篩選、訓練、意識、離職 |
| 實體控制 | 14 項 | 實體安全、設備、媒體 |
| 技術控制 | 34 項 | 認證、加密、網路、開發、監控 |
| 總計 | 93 項 |
為什麼這樣分?
- 更直覺:按照「誰負責」來分類
- 更好管理:組織、人員、實體、技術四條線清楚
- 更容易對應到實際工作
新增 11 項控制措施詳解
2022 版新增了 11 項控制措施,反映最新的資安威脅:
| 編號 | 控制措施 | 說明 |
|---|---|---|
| 5.7 | 威脅情報 | 主動蒐集、分析資安威脅資訊 |
| 5.23 | 雲端服務安全 | 雲端服務的取得、使用、管理、退出 |
| 5.30 | ICT 營運持續準備 | 資通訊系統支持營運持續的準備 |
| 7.4 | 實體安全監控 | 對敏感區域的持續監控 |
| 8.9 | 組態管理 | 硬體、軟體、服務的安全組態管理 |
| 8.10 | 資訊刪除 | 資訊的安全刪除,確保無法還原 |
| 8.11 | 資料遮蔽 | 敏感資料的遮蔽處理 |
| 8.12 | 資料外洩防護(DLP) | 防止敏感資料外洩的措施 |
| 8.16 | 監控活動 | 系統活動的監控以偵測異常 |
| 8.23 | 網頁過濾 | 對外部網站的存取過濾 |
| 8.28 | 安全程式碼開發 | 軟體開發的安全實務 |
重點項目解析:
威脅情報(5.7) 不只是被動防禦,要主動了解最新威脅。 例如:訂閱 TWCERT/CC 警訊、參與資安情報分享社群。
雲端服務安全(5.23) 專門針對雲端使用的控制。 從選擇供應商、使用管理、到退出雲端服務都要管。
資料外洩防護(8.12) DLP 工具的導入,監控敏感資料的流動。
刪除與合併的控制措施
2022 版沒有「刪除」任何控制措施,而是「合併」。
合併範例:
| 2013 版 | 2022 版 |
|---|---|
| A.8.2.1 資訊分類 | 合併為 5.12 資訊分類 |
| A.8.2.2 資訊標示 | |
| A.8.2.3 資產處理 |
為什麼合併?
- 減少重複
- 簡化管理
- 更符合實務
2013 vs 2022 對照表
由於篇幅限制,以下列出部分重要對照:
| 主題 | 2013 版 | 2022 版 |
|---|---|---|
| 存取控制 | A.9(14項) | 分散到組織控制+技術控制 |
| 密碼學 | A.10(2項) | 8.24 密碼學使用 |
| 實體安全 | A.11(15項) | 實體控制(14項) |
| 作業安全 | A.12(14項) | 分散到技術控制 |
| 通訊安全 | A.13(7項) | 8.20、8.21、8.22 |
| 供應商關係 | A.15(5項) | 5.19-5.22 |
想深入了解條文細節,請參考 ISO 27001 條文詳細解讀。
不確定哪些控制措施需要調整?預約差距分析,讓專家幫你評估。
企業轉版指南
轉版步驟(5步驟)
Step 1:了解差異
先搞清楚 2013 版和 2022 版的差異。
- 讀這篇文章(你已經在做了)
- 參加轉版說明會
- 取得 ISO 27001:2022 標準文件
Step 2:執行差距分析
盤點目前的 ISMS 與 2022 版要求的差距。
需要檢視的項目:
- 條文本文的對應情況
- 附錄 A 控制措施的對應
- 適用性聲明(SoA)的更新
- 文件系統的調整需求
Step 3:制定轉版計畫
根據差距分析結果,制定行動計畫。
| 項目 | 內容 |
|---|---|
| 範圍確認 | 轉版範圍是否與原認證相同 |
| 時程規劃 | 各階段的完成時間 |
| 責任分配 | 誰負責什麼 |
| 資源配置 | 需要多少人力、預算 |
Step 4:執行改善
依照計畫執行:
- 更新文件(政策、程序、SOP)
- 實施新增的控制措施
- 更新適用性聲明
- 執行教育訓練
Step 5:轉版稽核
向認證機構申請轉版稽核。
- 可以在監督稽核時一併進行
- 或單獨申請轉版稽核
- 稽核通過後,取得 2022 版證書
轉版時程建議
建議時程(中型企業):
| 階段 | 時程 | 工作內容 |
|---|---|---|
| 差距分析 | 4-6 週 | 盤點現況、識別差距 |
| 計畫制定 | 2-4 週 | 規劃時程、分配資源 |
| 文件更新 | 6-8 週 | 修訂政策、程序、SoA |
| 控制措施實施 | 8-12 週 | 落實新增控制措施 |
| 內部稽核 | 2-4 週 | 驗證改善成效 |
| 轉版稽核 | 2-4 週 | 認證機構稽核 |
| 總計 | 6-9 個月 |
轉版預算規劃
轉版的費用比首次認證低,但仍需要預算。
| 費用項目 | 費用範圍 | 說明 |
|---|---|---|
| 顧問輔導 | 10-30 萬 | 如果需要外部協助 |
| 員工時間 | 內部成本 | 文件更新、訓練等 |
| 稽核費用 | 原稽核費用的 70-100% | 視稽核方式而定 |
| 工具/系統 | 0-20 萬 | 如需導入新工具(如 DLP) |
省錢建議:
- 在監督稽核或換證稽核時一併轉版(省一次稽核費)
- 自己準備,減少顧問依賴
- 優先處理必要項目,其他逐步改善
詳細費用估算,請參考 ISO 27001 導入費用全解析。
常見轉版問題
Q1: 轉版一定要重新稽核嗎?
是的。需要經過認證機構的轉版稽核才能取得 2022 版證書。
Q2: 可以跳過監督稽核直接轉版嗎?
可以,但要確認認證機構的安排。通常建議在監督稽核時一併轉版,比較省錢。
Q3: 新增的 11 項控制措施都要做嗎?
不一定。每項控制措施都需要評估適用性,如果不適用要在 SoA 中說明理由。
Q4: 沒有雲端服務也要做雲端安全控制嗎?
如果公司完全沒有使用任何雲端服務,可以標示為「不適用」,但這種情況在現代企業很少見。
ISO 27002:2022 配套更新
27002 與 27001 的關係
很多人搞混這兩個標準。
| 項目 | ISO 27001 | ISO 27002 |
|---|---|---|
| 性質 | 要求標準 | 指引標準 |
| 可否認證 | 可以 | 不行 |
| 內容 | ISMS 框架 + 控制措施清單 | 控制措施的實作指引 |
| 頁數 | 約 30 頁 | 約 150 頁 |
簡單說:
- ISO 27001 告訴你「要做什麼」
- ISO 27002 告訴你「怎麼做」
更多比較請參考 ISO 27001 與 27002 差異比較。
27002 改版重點
ISO 27002:2022 在 2022 年 2 月就先發布了(比 27001 早 8 個月)。
主要變更:
-
控制措施屬性標籤
每個控制措施都加上了屬性標籤,方便查詢和分類:
- 控制類型:預防、偵測、矯正
- 資安屬性:機密性、完整性、可用性
- 網路安全概念:識別、保護、偵測、回應、復原
- 運作能力:治理、資產管理、資訊保護等
- 安全領域:治理與生態系統、保護、防禦、韌性
-
實作指引更新
每個控制措施都有更詳細的:
- 目的說明
- 指引說明
- 其他資訊
-
新增控制措施的完整說明
11 項新增控制措施在 27002 中有完整的實作指引。
如何搭配使用
實務建議:
-
規劃階段
- 用 ISO 27001 作為框架
- 參考 ISO 27002 理解控制措施的意圖
-
實施階段
- 用 ISO 27002 的指引來設計具體做法
- 不需要照抄,根據公司狀況調整
-
稽核階段
- 稽核依據是 ISO 27001
- 但稽核員會參考 27002 來評估你的做法是否合理
FAQ:改版常見問題
Q1: ISO 27001:2022 什麼時候開始強制?
2025 年 10 月 31 日之後,所有 2013 版證書都會失效。在此之前,2013 版和 2022 版都有效。
Q2: 轉版稽核要多少時間?
視企業規模而定:
- 中小企業:1-2 天
- 大型企業:2-4 天
通常比首次認證的時間短。
Q3: 控制措施從 114 項變 93 項,是變簡單了嗎?
不是。控制措施是「合併」不是「刪除」,而且新增了 11 項。實際要做的工作可能更多。
Q4: 沒有 2013 版證書,可以直接考 2022 版嗎?
可以。如果你是新導入,直接導入 2022 版即可,不需要先取得 2013 版。
Q5: 2022 版對中小企業友善嗎?
有一些改善:
- 控制措施分類更直覺
- 條文用語更清楚
- 但新增控制措施可能增加負擔
下一步
2025 年 10 月的轉版期限越來越近。
如果你還沒開始準備,現在就是最好的時機。
預約轉版諮詢,我們幫你執行差距分析、規劃轉版時程。
延伸閱讀
- 完整標準介紹,請見 ISO 27001 完整指南
- 條文詳細解讀,請見 ISO 27001 條文詳細解讀
- 27002 差異比較,請見 ISO 27001 與 27002 差異比較
- 轉版費用評估,請見 ISO 27001 導入費用全解析
參考資料
相關文章
ISO 27001 vs ISO 27002 差異比較:該選哪個?完整解析
ISO 27001 和 ISO 27002 有什麼不同?完整解析兩者定位、可否認證、使用方式,以及 ISO 27000 系列家族標準介紹。
ISO 27001ISO 27001 條文解讀:四階文件、控制措施與實作指南【完整版】
ISO 27001 條文內容有哪些?完整解讀 Clause 4-10 條文本文、附錄 A 控制措施、四階文件系統,幫你掌握標準架構與實作要點。
ISO 27001ISO 27001 完整指南:定義、條文、導入與認證全攻略【2025 最新】
ISO 27001 是什麼?本文完整解析 ISO 27001 資訊安全管理標準,包含導入費用、認證流程、2022 新版改版重點,幫助企業快速掌握 ISMS 建置要點。