证书查询 | 网站地图 欢迎访问北京埃尔维质量认证中心有限公司,有认证相关问题欢迎咨询

北京埃尔维质量认证中心有限公司-认监委认证机构

体系认证一站式服务专业机构出证,证书真实有效

埃尔维认证-全国服务电话199-3586-9001
热门关键词: 认证机构 ISO9001认证 ISO14001认证 ISO45001认证 Haccp体系认证 三体系认证办理
联系我们
北京埃尔维质量认证,企业ISO体系认证机构
最新发布
您的位置: 埃尔维认证 > 认证服务 > ISO27001信息安全

ISO/IEC27001:2022与ISO/IEC27001:2013 附录A(信息安全控制)的详细对比

浏览量:3时间:2025-12-18

ISO/IEC 27001:2022 与 ISO/IEC 27001:2013 附录A控制项对比表

ISO/IEC 27001:2022 附录A (93项)         ISO/IEC 27001:2013 附录A (114项)         变化类型与说明        
A.5 组织控制 (37项)        

【结构重组】          
 将2013版中多个控制域(A.5, A.6, A.7, A.8, A.10, A.13, A.15, A.16, A.17, A.18)中与管理、策略、流程相关的控制项整合至此主题下。
5.1 信息安全策略
A.5.1.1, A.5.1.2
合并/调整          
。合并了策略的制定、批准、发布、评审等要求。
5.2 信息安全角色和职责
A.6.1.1
调整          
。从“内部组织”移至此处。
5.3 职责分离
A.6.1.2
调整          
。从“内部组织”移至此处。
5.4 管理层责任
A.6.1.3
调整          
。从“内部组织”移至此处。
5.5 与职能机构的联系
A.6.1.4
调整          
。从“内部组织”移至此处。
5.6 与特定相关方的联系
A.6.1.5
调整          
。从“内部组织”移至此处。
5.7 威胁情报           无直接对应           【2022版新增】          
 应对新型安全威胁。
5.8 在项目管理中的信息安全
A.6.1.8
调整          
。从“内部组织”移至此处。
5.9 信息及其他相关资产的清单
A.8.1.1
调整          
。从“资产管理”移至此处。
5.10 信息及其他相关资产的可接受使用
A.8.1.3
调整          
。从“资产管理”移至此处。
5.11 资产归还
A.8.1.4
调整          
。从“资产管理”移至此处。
5.12 信息分级
A.8.2.1
调整          
。从“信息分级”移至此处。
5.13 信息标记
A.8.2.2
调整          
。从“信息分级”移至此处。
5.14 信息传输
A.13.2.1, A.13.2.2, A.13.2.3
合并/调整          
。合并了信息传输策略、协议等要求。
5.15 访问控制
A.9.1.1
调整          
。从“访问控制的业务要求”移至此处。
5.16 身份管理
A.9.2.1, A.9.2.2, A.9.2.4, A.9.2.5, A.9.2.6
合并/调整          
。整合了用户注册、权限管理、评审等身份全生命周期管理。
5.17 鉴别信息(身份验证)
A.9.2.3, A.9.3.1, A.9.4.3
合并/调整          
。整合了口令管理、特权访问管理等。
5.18 访问权限
A.9.2.3, A.9.4.1, A.9.4.4, A.9.4.5
合并/调整          
。整合了访问权限的分配、评审、移除等。
5.19 供应商关系中的信息安全
A.15.1.1
调整          
。从“供应商关系的信息安全”移至此处。
5.20 在供应商协议中强调信息安全
A.15.1.2
调整          
。从“供应商关系的信息安全”移至此处。
5.21 管理ICT供应链中的信息安全
A.15.1.3
调整/强化          
。从“供应商关系的信息安全”移至此处,强调ICT供应链。
5.22 供应商服务的监视、评审和变更管理
A.15.2.1, A.15.2.2
合并/调整          
。合并了供应商服务的监视和变更管理。
5.23 使用云服务的信息安全           无直接对应           【2022版新增】          
 应对云计算普及带来的特定风险。
5.24 信息安全事件管理规划和准备
A.16.1.1
调整          
。从“信息安全事件管理”移至此处。
5.25 信息安全事态的评估和决策
A.16.1.4
调整          
。从“信息安全事件管理”移至此处。
5.26 信息安全事件的响应
A.16.1.5
调整          
。从“信息安全事件管理”移至此处。
5.27 从信息安全事件中学习
A.16.1.6
调整          
。从“信息安全事件管理”移至此处。
5.28 证据收集
A.16.1.7
调整          
。从“信息安全事件管理”移至此处。
5.29 中断期间的信息安全
A.17.1.1, A.17.1.2, A.17.1.3
合并/调整          
。整合了业务连续性中的信息安全要求。
5.30 信息与通信技术(ICT)的业务连续性准备          
A.17.1.2, A.17.1.3
合并/强化          
。合并并强调了ICT连续性的具体要求。
5.31 法律、法规、规章和合同要求
A.18.1.1
调整          
。从“符合性”移至此处。
5.32 知识产权
A.18.1.2
调整          
。从“符合性”移至此处。
5.33 记录的保护
A.18.1.3
调整          
。从“符合性”移至此处。
5.34 隐私和个人可识别信息的保护
A.18.1.4
调整          
。从“符合性”移至此处。
5.35 信息安全的独立评审
A.18.2.1
调整          
。从“符合性”移至此处。
5.36 符合信息安全的策略、规则和标准
A.18.2.2, A.18.2.3
合并/调整          
。合并了内部和外部符合性评审。
5.37 文件化的操作规程
A.12.1.1
调整          
。从“运行安全”移至此处。
A.6 人员控制 (8项)          

【结构重组】            
 将2013版中与人员管理直接相关的控制项(主要来自A.7, A.9, A.13, A.16)整合至此。
6.1 审查
A.7.1.1
调整            
。从“任用前”移至此处。
6.2 任用条款和条件
A.7.1.2
调整            
。从“任用前”移至此处。
6.3 信息安全意识、教育和培训
A.7.2.2
调整            
。从“任用中”移至此处。
6.4 违规处理过程
A.7.2.3
调整            
。从“任用中”移至此处。
6.5 任用终止或变更后的责任
A.7.3.1
调整            
。从“任用的终止和变更”移至此处。
6.6 保密或不泄露协议
A.13.2.4
调整            
。从“信息传递”移至此处。
6.7 远程工作
A.6.2.2
调整            
。从“移动设备和远程工作”移至此处。
6.8 信息安全事态的报告
A.16.1.2, A.16.1.3
合并/调整            
。合并了信息安全事态和弱点的报告要求。
A.7 物理控制 (14项)            

【结构重组】              
 将2013版中所有物理和环境安全控制项(A.11)整合至此主题下。
7.1 物理安全边界
A.11.1.1
调整              
。条款内容基本对应。
7.2 物理入口
A.11.1.2
调整              
。条款内容基本对应。
7.3 办公室、房间和设施的安全保护
A.11.1.3
调整              
。条款内容基本对应。
7.4 物理安全监视               A.11.1.6 (部分)               【调整/新增】              
 从“交接区”等要求中提炼并独立成项,强调主动监视。
7.5 防止物理和环境威胁
A.11.1.4
调整              
。条款内容基本对应。
7.6 在安全区域工作
A.11.1.5
调整              
。条款内容基本对应。
7.7 清理桌面和屏幕
A.11.2.9
调整              
。从“设备安全”移至此处。
7.8 设备选址和保护
A.11.2.1
调整              
。从“设备安全”移至此处。
7.9 场外资产的安全
A.11.2.6
调整              
。从“设备安全”移至此处。
7.10 存储介质
A.8.3.1, A.8.3.2, A.8.3.3, A.11.2.5
合并/调整              
。整合了介质管理和处置要求。
7.11 配套设施
A.11.2.2
调整              
。从“设备安全”移至此处。
7.12 布线安全
A.11.2.3
调整              
。从“设备安全”移至此处。
7.13 设备维护
A.11.2.4
调整              
。从“设备安全”移至此处。
7.14 设备的安全处置或再利用
A.11.2.7
调整              
。从“设备安全”移至此处。
A.8 技术控制 (34项)              

【结构重组】                
 将2013版中所有技术性控制项(主要来自A.9, A.12, A.13, A.14, A.17)整合至此主题下。
8.1 用户终端设备
A.6.2.1
调整                
。从“移动设备和远程工作”移至此处。
8.2 特许访问权限
A.9.2.3
调整/强化                
。从“用户访问管理”移至此处,强调特权账户管理。
8.3 信息访问限制
A.9.4.1
调整                
。从“系统和应用访问控制”移至此处。
8.4 对源代码的访问
A.9.4.5
调整                
。从“系统和应用访问控制”移至此处。
8.5 安全鉴别
A.9.4.2
调整                
。从“系统和应用访问控制”移至此处。
8.6 容量管理
A.12.1.3
调整                
。从“运行安全”移至此处。
8.7 防范恶意软件
A.12.2.1
调整                
。从“运行安全”移至此处。
8.8 技术脆弱性管理
A.12.6.1
调整                
。从“技术脆弱性管理”移至此处。
8.9 配置管理                 A.12.1.2, A.14.2.1 (部分)                 【合并/新增】                
 整合了运行配置和安全系统配置管理。
8.10 信息删除                 A.8.3.2, A.11.2.7 (部分)                 【合并/新增】                
 整合了介质处置中的信息删除要求。
8.11 数据脱敏                 无直接对应                 【2022版新增】                
 应对数据隐私保护要求。
8.12 数据泄露防护                 A.13.1.3 (部分)                 【调整/新增】                
 从“网络安全管理”中提炼并强化。
8.13 信息备份
A.12.3.1
调整                
。从“运行安全”移至此处。
8.14 信息处理设施的冗余
A.17.1.3
调整                
。从“信息安全连续性”移至此处。
8.15 日志                 A.12.4.1                 调整                
。从“运行安全”移至此处。
8.16 监视活动                 A.12.4.1, A.12.4.2, A.12.4.3                 【合并/调整】                
 整合了日志记录、监视和分析活动。
8.17 时钟同步
A.12.4.4
调整                
。从“运行安全”移至此处。
8.18 特权使用程序的使用
A.9.4.4
调整                
。从“系统和应用访问控制”移至此处。
8.19 运行系统软件的安装
A.12.5.1
调整                
。从“运行安全”移至此处。
8.20 网络安全
A.13.1.1, A.13.1.2, A.13.1.3
合并/调整                
。整合了网络安全管理、网络服务安全等。
8.21 网络服务的安全
A.13.1.1
调整                
。从“网络安全管理”移至此处。
8.22 网络隔离
A.13.1.3
调整                
。从“网络安全管理”移至此处。
8.23 网页过滤                 无直接对应                 【2022版新增】                
 应对网络威胁和生产力管理。
8.24 密码技术的使用
A.10.1.1, A.10.1.2
合并/调整                
。整合了密码使用策略和密钥管理。
8.25 安全的开发生命周期
A.14.2.1
调整                
。从“系统获取、开发和维护”移至此处。
8.26 应用程序安全要求
A.14.1.1
调整                
。从“系统获取、开发和维护”移至此处。
8.27 系统安全架构和工程原则
A.14.2.1 (部分)
调整/提炼                
。从安全开发生命周期中提炼。
8.28 安全编码                 无直接对应                 【2022版新增】                
 强调开发阶段的安全实践。
8.29 开发和验收中的安全测试
A.14.2.8, A.14.2.9
合并/调整                
。整合了安全测试要求。
8.30 开发外包
A.14.2.6
调整                
。从“系统获取、开发和维护”移至此处。
8.31 开发、测试和生产环境的分离
A.12.1.4
调整                
。从“运行安全”移至此处。
8.32 变更管理
A.12.1.2, A.14.2.2, A.14.2.3, A.14.2.4
合并/调整                
。整合了运行变更和应用变更管理。
8.33 测试信息                 A.14.2.7                 调整                
。从“系统获取、开发和维护”移至此处。
8.34 在审计测试中保护信息系统
A.18.2.3
调整                
。从“符合性”移至此处。

总结:附录A的主要变化

结构重组(最显著变化):

2013版

:14个控制域(A.5至A.18),按主题混合编排。

2022版

:4个主题(组织、人员、物理、技术),逻辑更清晰,更符合“治理-人员-物理-技术”的现代安全框架。

控制项整合与精简:

总数从 114项 精简至 93项。

主要通过合并相关控制实现。例如,将多个关于用户访问管理的控制(A.9.2.1至A.9.2.6)合并为2022版的A.5.16(身份管理)和A.5.18(访问权限)。

新增控制项(共11项):

A.5.7 威胁情报

A.5.23 使用云服务的信息安全

A.5.30 信息与通信技术(ICT)的业务连续性准备

A.7.4 物理安全监视

A.8.9 配置管理

A.8.10 信息删除

A.8.11 数据脱敏

A.8.12 数据泄露防护

A.8.16 监视活动

A.8.23 网页过滤

A.8.28 安全编码

文档《ISO/IEC 27001: 2022 换版不求人秘笈》明确列出了15项变化较大的条款,其中属于附录A的新增控制项为:

这些新增项反映了当前信息安全的热点领域,如云安全、数据保护、威胁情报和安全开发。

控制项描述更新:

部分控制项的标题和描述进行了优化,使其更清晰、更符合当前技术环境(如“恶意软件防范”取代了“防范恶意代码”)。

核心结论:2022版附录A并非简单删减,而是通过重组、合并、新增,使控制集的结构更合理、逻辑更清晰,并引入了应对新时代安全挑战的控制措施。对于已建立ISMS的组织,换版工作的核心在于根据新的93项控制重新审视和更新其适用性声明(SoA)及相关控制文件。

版权声明:本文由北京埃尔维质量认证中心编辑,转载请注明出处。本站部分内容来自互联网,如侵害您的利益,可联系客服进行删除。

本文标题:ISO/IEC27001:2022与ISO/IEC27001:2013 附录A(信息安全控制)的详细对比

本文地址:http://aew.9001sdkj.com/iso27001/1714.html

相关文章

联系我们Contact us

公司电话:19935869001

公司邮箱:2492999604@qq.com

公司地址:北京市西城区车公庄大街甲4号

微信咨询Add WeChat
  • 埃尔维质量认证24小时微信客服

    认证答疑-客服微信

Copyright © 2025-北京埃尔维质量认证中心有限公司 备案号:晋ICP备2021000943号  

在线客服
联系方式

服务电话

19935869001

上班时间

周一到周五

公司电话

199-3586-9001

客服微信
线

埃尔维认证     获取认证报价、流程