作為國際上具有代表性的信息安全管理體系標準，ISO/IEC 27001隨著信息安全管理的變化趨勢應境而變，為使ISO/IEC 27001的附錄A與ISO/IEC 27002:2022一致，新版標準ISO/IEC 27001:2022預計將于2022年10月24日正式發布。新版標準發布在即，以下為大家關注的轉版熱點問題，解答企業實際工作中的困惑。

Q：現在可以做ISO/IEC 27001:2022新版認證嗎？

A：目前可以按照FDIS版本做差距分析，新版在本月底（10月24日）正式發布后才能進行ISO/IEC27001:2022新版認證，新版證書的發放取決于認可機構的認可進度。

Q：2024年年度評審能否按照舊版進行審核？

A：還可以按照舊版進行審核，但2025年9月證書就失效了，建議可以準備按照新的版本進行審核，不要拖到最后的時間。

Q：目前最常用的信息安全風險評估從哪幾個方面做？

A：信息安全風險評估在最新ISO/IEC 27001:2022標準中沒有太大的變化，但在ISO/IEC 27005:2018標準中講了風險評估的一個方法論，更強調的是從業務的角度識別業務風險及識別威脅漏洞，根據發生的可能性從量化、定量、定性算出風險的大小，然后按照企業的風險偏好，采取相應的風險控制措施。

Q：不在SOA里面的也可以自己增加控制項嗎？

A：不在SOA里面的控制項，企業也可以繼續添加，實施信息安全管理控制。因為標準只是提供一個起點，企業可以從標準里面去選取適用的控制項，按照實際去補充新的控制項。在ISO/IEC 27000系列標準中，提供了其它的標準供企業選擇補充新版ISO/IEC 27001:2022標準中SOA的控制項。例如：關于應用安全ISO/IEC 27034:2011標準，可以在ISO/IEC 27001:2022中追加ISO/IEC 27034:2011應用安全的控制項，或增加ISO/IEC 27040:2015存儲安全的控制項。

Q：正準備做ISO/IEC 27001:2013的認證，建議做哪些版本合適？

A：目前正準備進行認證的企業，建議可以先使用新版ISO/IEC 27001:2022做一個差距評估分析，根據差距的程度評估，選擇適合的版本進行認證。評估差距不大，可直接申請新版本的認證，過程中會涉及到執行的差距不大，但會涉及少量的更新工作，如在文件的準備上，需要按照新版本更新SOA控制項。評估差距很大，可以給自己預留充足的時間窗（如1年的時間）再進行升版。