(04) 2375-8388 台中在地服務
企業 IT 整合 · 資安 · 維運 原廠技術合作夥伴
法規合規 / 資安管理

ISO 27001:2022 改版差異解析:93 項控制措施與 11 項新增控制

ISO 27001:2022 與 2013 版差異完整對照:控制措施 114 項精簡為 93 項、重組為 4 大主題,新增威脅情資、雲端服務資安、DLP 等 11 項控制。2013 版證書已全面失效,教您用差距分析補齊新版缺口。

法規合規 · 2026 年 3 月發布/2026 年 7 月更新 · 凱茂資訊技術團隊 · 閱讀時間 6 分鐘
分享: LINE 分享
快速回答:ISO 27001:2022 將附錄 A 控制措施從 14 領域 114 項重組為 4 大主題 93 項,並新增威脅情資、雲端服務資安、DLP 等 11 項控制。2013 版認證已於 2025 年 10 月 31 日全面失效,尚未取證或證書失效的企業一律以 2022 版認證。本文逐項解析改版差異、新增控制與文件轉換做法。

前言:ISO 27001:2022 已成為唯一有效版本

ISO/IEC 27001:2022 版本已於 2022 年 10 月正式發布。依據 IAF(國際認證論壇)規定,所有持有舊版(2013 版)認證的組織須在 2025 年 10 月 31 日前完成升級轉換稽核——該期限已屆,2013 版認證自此全面失效,2022 版成為唯一有效版本。仍持舊版或尚未認證的台灣企業,須直接以 2022 版要求進行(重新)認證。本文提供實務指南,協助台灣企業掌握關鍵差異並順利取得或維持認證。

本文聚焦 2022 改版的差異與控制項解析。若您是從零開始評估導入,需要完整的導入流程、時程、費用與文件規劃(差距分析、風險評估、文件建立到認證稽核),請先閱讀 ISO 27001 導入完整流程指南

ISO 27001:2022 vs 2013 版主要差異
ISO 27001:2022 vs 2013 版主要差異

一、ISO 27001:2022 vs 2013 版主要差異

控制項架構重組:從 14 類到 4 類

2022 版最顯著的變化是附錄 A(Annex A)的重組。舊版 14 個控制類別、114 項控制措施,重組為以下 4 個主題類別、93 項控制措施:

  • 組織控制(Organizational Controls):37 項,涵蓋政策、角色、威脅情資、供應商關係等
  • 人員控制(People Controls):8 項,涵蓋員工資訊安全責任、訓練、違規事件通報等
  • 實體控制(Physical Controls):14 項,涵蓋實體安全邊界、設備保護、清桌清屏等
  • 技術控制(Technological Controls):34 項,涵蓋端點安全、加密、監控、資料遮罩等

11 項新增控制措施(2022 版新增)

以下 11 項控制措施是 2022 版新增,在 2013 版中不存在:

  • 5.7 威脅情資(Threat Intelligence):建立情資的收集、分析與分發機制,將外部威脅資訊轉化為防禦行動
  • 5.23 雲端服務使用的資訊安全(Information Security for Use of Cloud Services):對雲端服務的採用、使用與退場訂定安全要求,含供應商合約條款
  • 5.30 業務連續性的 ICT 準備(ICT Readiness for Business Continuity):BCP 須涵蓋 ICT 系統還原能力(RTO/RPO)並定期演練
  • 7.4 實體安全監控(Physical Security Monitoring):對機房、辦公室等敏感區域部署入侵偵測與監視
  • 8.9 組態管理(Configuration Management):建立硬體、軟體與網路設備的基準組態與變更控管
  • 8.10 資訊刪除(Information Deletion):資料不再需要時安全刪除,涵蓋內部系統與雲端服務
  • 8.11 資料遮罩(Data Masking):對個資等敏感資料進行遮罩、假名化或匿名化
  • 8.12 資料外洩防護(Data Leakage Prevention):對承載敏感資訊的系統、網路與端點部署 DLP 措施
  • 8.16 監控活動(Monitoring Activities):監控網路、系統與應用程式異常行為,及早偵測事件
  • 8.23 網頁過濾(Web Filtering):管控對外部網站的存取,降低惡意內容暴露
  • 8.28 安全編碼(Secure Coding):在軟體開發生命週期落實安全編碼原則

威脅情資整合:從被動到主動

新增的「5.7 威脅情資」要求組織建立機制,主動收集、分析並應用與組織相關的資訊安全威脅情資。這反映了現代資安從被動防禦轉向主動情蒐的趨勢。

改版對照:不是砍掉重練,而是重組

依 ISO/IEC 27002:2022 附錄 B 的新舊對照表,93 項控制中有 35 項與舊版相同、23 項僅更名、57 項舊控制合併為 24 項,再加上 11 項全新控制。對已運作 ISMS 的企業而言,這代表既有控制措施大多仍然有效,轉換的重點工作是把適用性聲明(SoA)與程序文件對應到新版編號,並針對 11 項新增控制補齊缺口。

屬性標籤:控制措施的五個檢視維度

2022 版與 ISO 27002:2022 對齊,每項控制措施都標上五組屬性:控制類型(#預防 #偵測 #矯正)、資訊安全特性(機密性、完整性、可用性)、網宇安全概念(識別、保護、偵測、回應、復原,對應 NIST CSF 五大功能)、運營能力與安全領域。企業可以用這些屬性多維度檢視 SoA 的涵蓋度,例如快速篩出「偵測類」控制是否過少。

二、哪些企業需要 ISO 27001 認證

台灣政府採購要求

行政院數位部及各機關在資訊系統建置、資安服務採購標案的資格條件中,越來越頻繁地要求投標廠商持有 ISO 27001 認證。若企業有承接政府 IT 標案的計畫,ISO 27001 已實質上成為參標門票。

金融業監管壓力

金融監督管理委員會(金管會)持續強化對金融機構資安要求。保險、銀行、證券等受監管機構的 IT 服務供應商,面臨愈來愈強的壓力需取得 ISO 27001 認證,以通過客戶的供應商資安稽核。

供應鏈要求

台灣許多科技製造業的一線大廠(如台積電、鴻海、聯發科)在供應商管理中納入了資安稽核要求。作為其供應商的中型企業,取得 ISO 27001 認證是維持合格供應商資格的必要條件。而出口導向的製造業還有另一層門檻:歐系車廠供應鏈要求 TISAX、美國國防供應鏈要求 CMMC,兩者都以 ISO 27001 的管理體系為基礎再往上加壓,可對照 TISAX 與 CMMC 供應鏈合規攻略 評估自己還差幾步。

從差距分析到取得認證:六階段速覽
從差距分析到取得認證:六階段速覽

三、從差距分析到取得認證:流程速覽

無論是首次導入,或 2013 版證書失效後重新認證,流程架構相同:準備期(管理層承諾、定義 ISMS 範疇、差距分析)→ 風險評鑑(資產盤點、威脅與弱點識別)→ 控制項導入(落實控制措施、文件撰寫、員工訓練)→ 內部稽核與管理審查 → 認證稽核(第一階段文件審查+第二階段現場稽核)→ 取證後年度監督稽核與三年換證。

本文不展開各階段細節。完整的階段任務、必備文件清單、費用與時程規劃,請見 ISO 27001 導入完整流程指南;以下聚焦 2022 版特有的轉換工作。

四、改版對 ISMS 文件的衝擊:SoA 與程序文件怎麼改

2022 改版對文件面的最大衝擊是適用性聲明(SoA):SoA 必須逐項對應附錄 A 的 93 項新控制編號,不能沿用舊版 14 領域 114 項的架構。實務上的轉換工作包括:

  • SoA 重寫:以 93 項新編號重建適用性判斷與理由,善用 ISO 27002:2022 附錄 B 的新舊對照表加速轉換
  • 風險處理計畫更新:對 11 項新增控制逐一評估適用性,適用者納入風險處理計畫並指定負責人與時程
  • 程序文件改版:23 項更名控制對應的程序書須更新引用的條文編號與名稱
  • 新撰文件:雲端服務使用政策(5.23)、資訊刪除與資料遮罩程序(8.10/8.11)、DLP 政策(8.12)、威脅情資作業程序(5.7)多半是企業原本沒有的文件,需要從零撰寫
  • 內部稽核檢查表改版:稽核 checklist 須改為 4 大主題 93 項的新架構,才能產出對應新版的稽核證據

至於 ISMS 範疇聲明、風險評估方法論、資訊安全目標等完整必備文件清單,導入指南一文已有整理,此處不重複。

轉換 2022 版常見疏漏
轉換 2022 版常見疏漏

五、轉換 2022 版最常見的五個疏漏

1. SoA 仍沿用舊版編號

最常見的不符合事項:文件宣稱符合 2022 版,SoA 卻仍是 14 領域 114 項的舊架構。這在認證稽核第一階段(文件審查)就會被揪出,直接影響能否進入第二階段。

關鍵指標:若 SoA 的版本欄仍寫 ISO 27001:2013,或控制編號仍是 A.5–A.18 的舊架構,代表轉換尚未真正開始。

2. 新增控制只有紙上政策

寫了雲端安全政策、DLP 政策,但沒有雲端服務清冊、也沒有部署任何對應工具或流程。稽核員會直接查驗政策與實際控制的一致性,紙上政策反而成為明確的稽核缺失。

3. 雲端服務盤點不完整

5.23 要求涵蓋組織使用中的所有雲端服務。各部門自行訂閱的 SaaS(Shadow IT)最容易被遺漏,需要搭配全面盤點與合約安全條款檢視,才能建立完整的雲端服務清冊。

4. 威脅情資流於形式

只訂閱幾份資安新聞不等於符合 5.7。稽核關注的是完整的情資循環:情資來源、分析流程、分發對象,以及據此採取行動的紀錄。

5. 監控與日誌拿不出運作證據

8.16 監控活動要求能證明「有人在看」:告警規則、事件單、處理紀錄缺一不可。只部署了 SIEM 或日誌系統而拿不出運作證據,監督稽核仍會開出不符合項。

六、凱茂資訊 ISO 27001 輔導服務

凱茂資訊具備豐富的資安管理系統導入輔導經驗,提供以下服務協助台灣企業取得 ISO 27001:2022 認證:

  • Gap Analysis 差距分析:全面評估現況與 ISO 27001:2022 要求的差距,產出具體的改善清單
  • 顧問陪跑導入:資深顧問全程陪伴,協助各部門理解並落實控制措施
  • 文件代製服務:依貴公司實際情況客製化撰寫所有必備政策與程序文件
  • 員工資安訓練:提供符合 ISO 27001 要求的全員資安意識培訓課程
  • 模擬稽核:正式稽核前進行模擬稽核,提前發現並矯正不符合事項
  • 認證後維護支援:協助執行年度內部稽核、管理審查,確保認證持續有效

重點摘要

  • 控制措施從 14 領域 114 項重組為 4 大主題 93 項(35 不變、23 更名、57 併為 24、11 新增)
  • 新增 11 項控制:威脅情資、雲端服務資安、DLP、組態管理、安全編碼等
  • 2013 版認證已於 2025 年 10 月 31 日全面失效,須以 2022 版重新完整認證
  • 轉換第一步:SoA 與風險處理計畫改用新版 93 項控制編號重寫

不確定現況或下一步該怎麼做?凱茂資深工程師用實戰經驗,協助您釐清問題、找出最適合貴公司的做法。

預約免費 Gap Analysis 評估 →

相關方案:資安與網路方案

凱茂資訊提供 ISO 27001 認證輔導服務,協助台灣企業順利取得並維持認證。

瞭解我們的資安防護方案 → 索取報價

常見問題

ISO 27001:2022 跟 2013 版有什麼差別?

主要變化:(1) 控制項從 14 領域 114 項精簡為 4 主題 93 項(組織、人員、實體、技術);(2) 新增 11 個控制項(含雲端安全、威脅情資、DLP、安全編碼、監控等);(3) 控制項加入屬性標籤(#預防 #偵測 #矯正)。核心架構(PDCA 循環、風險評鑑)不變。

2013 版證書過渡期已截止,還沒轉版怎麼辦?

2013 版轉 2022 版的全球過渡期已於 2025 年 10 月 31 日截止,逾期未完成轉版的證書即失效,也無法再走簡化的轉版稽核。企業須以 2022 版重新進行第一階段(文件審查)+第二階段(現場稽核)的完整認證。建議先對照 93 項控制措施做差距分析,把 SoA 與風險處理計畫更新為新版控制編號,優先補齊 11 項新增控制中落差最大的項目,再啟動認證稽核。

2022 版新增的 11 項控制措施,企業應優先落實哪些?

實務上落差最常出現在:5.23 雲端服務資安(盤點雲端服務清冊與合約安全條款)、8.12 資料外洩防護(DLP 政策與工具)、5.7 威脅情資(建立情資收集與分發機制)、8.9 組態管理(基準組態與變更控管)、8.16 監控活動(異常行為偵測與告警)。建議依風險評鑑結果排序,先處理與核心業務系統及雲端環境相關的控制項。

IT 技術電子報

訂閱 IT 技術電子報

每月精選 IT 趨勢與實務文章,直接送到你的信箱

相關文章

法規合規

台灣資安法規 2026 合規指南

資安法首次大修七大重點、個資法獨立監管機關與企業合規實務

金融合規

金融業 IT 合規實務

金融業 IT 架構設計、資安要求與法規遵循完整指南

零信任資安

零信任安全架構入門

企業如何導入零信任安全架構的完整入門指南

專業顧問諮詢

讀完這篇文章,是否有更多問題?

凱茂資訊提供 30 分鐘免費架構評估,由專業顧問針對您的企業現況給出具體建議,不推銷、不強迫。

預約 30 分鐘免費諮詢 免費 IT 健檢 · 5 分鐘

✓ 免費諮詢,無義務購買 ✓ 中部地區可現場拜訪 ✓ 一般於 1 個工作天內回覆

想了解凱茂能幫上什麼? · 5 分鐘免費健檢,1 個工作天內回覆