在資訊安全領域,ISO 27001: 2022改版是近年來最受矚目的國際標準更新之一。新版不僅反映現代數位化環境的挑戰,也將隱私保護與網路安全納入更高層級的規範。對於已通過 ISO 27001 的企業來說,了解新版ISO 27001: 2022控制措施 及ISO 27001:2022附錄A 的內容,並於2025 年 10 月 31日前完成版本轉換,將是順利轉版的關鍵。這次匯續一次將改版的重點懶人包直接整理給你!讓你省去到處找資料的麻煩。
ISO 27001:2022 改版背景與意義
新版 ISO 27001:2022 已於 2022 年 10 月 25 日正式發佈,主要修訂原因包括:
- 數位化趨勢:雲端運算、IoT 與行動應用普及,使威脅型態更加複雜。
- 隱私保護法規:因應 GDPR 與各國個資保護規範,將 個人可識別資訊(PII) 納入控管。
- 標準一致性:新版 ISO/IEC 27002:2022中文版 已率先更新,ISO 27001 需對應同步調整。
這次更新代表資安已經不是單一技術議題,而是企業治理、品牌信任、風險管理的重要核心。
ISO 27001:2013 與 ISO 27001:2022 差異比較
新版差異如下表所示:
| 項目 | ISO 27001:2013 | ISO 27001:2022 |
| 控制措施總數 | 114 項 | 93 項 |
| 分類 | 14 大類 | 4 大控制主題 (組織、人員、實體、技術) |
| 新增控制項目 | – | 2022年新增11項威脅情資、使用雲端服務之資訊安全、營運持續之ICT備妥性、實體安全監視、組態管理、資訊刪除、資料遮蔽、資料洩露預防、監視活動、網頁過濾、安全程式設計 |
| 附錄 A | 舊版控制清單 | |
| 新增子條款 | – | 新增6.3 變更規劃 |
| 新增要求之條款 | – | 4.2 暸解關注方之需要及期望 4.4 資訊安全管理系統 6.2 資訊安全目標及達成之規劃 7.4 溝通或傳達 8.1 運作之規劃及控制 9.2 內部稽核 9.3 管理審查 |
| 用語調整之條款 | – | 4.2 暸解關注方之需要及期望 4.4 資訊安全管理系統 8.1 運作之規劃及控制 9.1 監督、量測、分析及評估 9.2 內部稽核 9.3 管理審查 |
| 架構變更之條款 | – | 9.2 內部稽核 9.3 管理審查 |
| 條款編號調整 | – | 「10.1 不符合事項及矯正措施」與「10.2 持續改善」調整為「10.1 持續改善」與「10.2 不符合事項及矯正措施」 |
| 轉版期限 | – | 2025 年 10 月 31日前 完成轉換 |
ISO 27001:2022 附錄 A 的四大領域
新版ISO 27001:2022附錄A 與 ISO/IEC 27002:2022中文版 高度一致,控制措施精簡並整併為四大領域:
1. 組織(Organizational)
涵蓋政策、供應商管理、業務持續性。
2. 人員(People)
著重人力資源安全、資安意識培訓。
3. 實體(Physical)
包含設備安全、場域管控。
4. 技術(Technological)
涉及加密、存取控制、網路防護。
👉 特別新增的控制重點包括 5.7威脅情資、5.23使用雲端服務之資訊安全、5.30 營運持續之ICT備妥性、7.4 實體安全監視、8.9 組態管理、8.10 資訊刪除、8.11 資料遮蔽、8.12 資料洩露預防、8.16 監視活動、8.23 網頁過濾、8.28 安全程式設計。
ISO 27001:2022 附錄A控制措施屬性
附錄A中為每個資訊安全控制措施加入控制屬性(Attributes)標籤,使組織可利用標籤化來查找對應之控制措施。
| 屬性 | 說明 | 屬性值 |
| 控制類型 | 從控制元件在何時、以及以何種方式影響資訊安全事件風險的觀點來檢視控制措施。 | 預防性偵測性矯正性 |
| 資訊安全 | 從控制措施能保護資訊哪些特性來檢視控制措施。 | 機密性完整性可用性 |
| 網路安全概念 | 從控制措施和 ISO/IEC TS 27110 網宇安全框架概念的關聯來檢視控制措施。 | 識別保護偵測回應復原 |
| 運作能力 | 以專業人員的資訊安全能力觀點,來檢視控制措施。 | 治理資產安全資訊保護人力資源安全實體安全系統與網路安全應用程式安全安全組態識別與存取管理威脅與脆弱性管理持續性供應商關係安全法律與遵循性資訊安全事件管理資訊安全保障 |
| 安全領域 | 從四個資訊安全領域的角度來檢視控制措施。 | 治理及生態系統資訊安全治理及風險管理生態網宇安全管理保護IT安全架構IT安全管理身分識別與存取管理IT安全維護實體及環境安全防禦偵測電腦安全事故管理韌性運作之持續性危機管理 |
ISO 27001 轉版期限與企業因應
ISO 公告,所有 ISO 27001:2013 認證必須在 2025 年 10 月31日前 完成轉版。企業因應策略建議如下:
- 差異分析:檢視新版與現行制度差異。
- 教育訓練:強化內部團隊對新版的理解。
- 文件更新:依據ISO 27001:2022條文更新文件後須保留文件修訂紀錄。
- 技術驗證:針對雲端、資料刪除等新議題進行檢核。
- 內部稽核:提前檢驗新版導入效果。
為什麼企業應盡快導入 ISO 27001:2022?
- 資安韌性:防範勒索病毒與雲端攻擊。
- 法規遵循:符合《一般資料保護規定( GDPR)》與《個資法》。
- 供應鏈信任:國際大廠逐漸要求新版認證。
- 支援數位轉型:雲端與 AI 環境更安全。
- 品牌與商機:展現資訊安全承諾,提升客戶信任。
結論
ISO 27001: 2022改版 不只是控制措施的調整,而是完整提升組織資安治理與風險管理的機會。建議企業應盡速了解 ISO 27001:2022 ,進行內部差距分析,並規劃教育訓練與文件更新,才能在 ISO 27001轉版期限 前順利完成升級,全面提升 ISO 27001: 2022運作能力。
匯續永續擁有完整的資訊安全與永續管理輔導經驗,能協助企業從現況盤點、差距分析、文件制度建置到教育訓練與內部稽核,全方位支援新版 ISO 27001:2022 的導入與轉版作業。我們團隊熟悉 ISO/IEC 27002:2022 控制措施更新與屬性標籤管理方式,協助企業有效整合資安治理、風險控管及法規遵循,確保符合新版要求並通過第三方驗證。同時,匯續亦能將資訊安全管理與 ESG、永續報告書之揭露架構結合,協助企業不僅達成合規,更強化品牌信任與供應鏈競爭力,穩健邁向數位與永續並行!
ISO 27001:2022 改版常見問答(FAQ)
1. ISO 27001: 2022改版的主要差異是什麼?
新版將控制措施從 114 項縮減為 93 項,並將 14 類合併為 4 大領域(組織、人員、實體、技術),同時新增威脅情資、使用雲端服務之資訊安全、營運持續之ICT備妥性、實體安全監視……等11項議題。
2. ISO/IEC 27002:2022中文版 與 ISO 27001:2022 有什麼關聯?
ISO 27001 的附錄 A 控制措施直接對應 ISO/IEC 27002:2022中文版,因此新版 ISO 27001:2022 採用了 27002 的更新架構。
3. 哪裡可以取得 ISO 27001:2022條文?
企業可透過 ISO 官方網站 或台灣的 標檢局(BSMI) 購買 ISO 27001:2022 條文,CNS 27001 也提供繁體中文版。
4. ISO 27001 2022轉版期限到什麼時候?
所有已通過 ISO 27001:2013 的企業,必須在 2025 年 10 月31日 前完成轉版,否則現有認證將失效。
5. ISO 27001:2022附錄A 包含哪些重點?
新版附錄 A 將控制措施歸納為 4 大領域,為每個資訊安全控制措施加入控制屬性(Attributes)標籤,並新增威脅情資、使用雲端服務之資訊安全、營運持續之ICT備妥性、實體安全監視……等11項議題,反映當前數位與隱私環境的需求。
6. 企業在轉版過程中需要做什麼?
需進行差異分析、教育訓練、文件更新、技術檢核與內部稽核,才能確保新版標準落地。
7. ISO 27001: 2022控制措施的數量有變化嗎?
是的,新版將控制措施由 114 項精簡為 93 項,同時引入更現代化的資安需求,並刪除了舊版控制目標的結構。
8. 為什麼企業應該盡快導入 ISO 27001:2022?
新版不僅符合 GDPR 與個資法規,更能強化資安韌性、提升供應鏈信任、支援數位轉型,並在市場上展現品牌的資安承諾。
