ISO/IEC27001新版问答集锦

企业需了解相关内容以积极应对ISO/IEC27001新版的发布，SGS老师对关注度较高的话题进行了详细解答。

问题1：对于GDPR的自我声明中，一般会侧重ISO/IEC27001，而ISO/IEC27701是辅助性，这样的理解对吗？
众所周知，ISO/IEC27001是保护信息的保密性、完整性和可用性的。那么对于个人数据也是如此，使用ISO/IEC27001来保护个人数据不被泄露、不被破坏和可用是很好的。但是，个人数据保护不仅仅是防止个人数据被泄露和被破坏，还要关注个人数据处理的的原则问题和数据主体的权利等问题，例如个人数据处理的目的限制、最小化原则，数据主体的知情权、访问权等。为了满足个人数据处理原则和满足数据主体的权利等问题，ISO/IEC27001没有提供这方面的控制措施，而ISO/IEC27701提供了对应的控制措施。

问题2：新的2022版包含了隐私保护部分，那是否可以代替ISO/IEC27701标准呢？ISO/IEC27701还需要认证吗？
虽然ISO/IEC27001 FDIS 2022包含了3个隐私控制：信息删除，数据脱敏和数据防泄漏，但是还不足以代替ISO/IEC27701在个人信息保护方面的作用。ISO/IEC27701:2019标准在个人信息处理方面，针对个人信息控制者增加了31个控制项，针对个人信息处理者增加了18个控制项，这些增加的控制项都是为了安全地处理个人信息，确保个人信息的处理合规以及满足个人主体的权利。因此，ISO/IEC27001不能替代ISO/IEC27701，如果您有隐私保护的相关需求，建议通过ISO/IEC27701的认证。

问题3：已经培训了2013版的，2023年做认证还需要重新培训吗？
如果选择在2023年做ISO/IEC27001认证，并且当认证时ISO/IEC27001:2022版已经发布，企业认证有两个选择：认证2013版或者认证2022版。如果选择继续认证2013版，那么暂时可以不需要2022版的培训，但是在2022版标准发布后3年内要将2013版证书转换成2022版证书。如果选择认证2022版，那么需要考虑2022版的要求，例如更新信息安全风险评估和风险处置计划，更新适用性声明（SOA），更新政策和程序等等。

问题4：信息安全策略集要如何更新呢？
ISO/IEC27001 FDIS 2022中新增加了11个控制项，针对这个11个控制项，企业可考虑是否需要增加新的策略，如需增加，在现有策略集中加入新的策略，如不需增加，保持现有的策略集即可。

问题5：ISO/IEC27001新版审查风险评价和处置计划方法上有变化，那也就资产识别和风险评价方法会有变化吗？
ISO/IEC27001新版风险评估和风险处置的方法没有变化，只是在进行信息安全风险处置时可选的控制措施有变化，所以企业现在使用的信息安全风险评估方法基本不受影响。