前言:ISO 27001:2022 已成為唯一有效版本
ISO/IEC 27001:2022 版本已於 2022 年 10 月正式發布。依據 IAF(國際認證論壇)規定,所有持有舊版(2013 版)認證的組織須在 2025 年 10 月 31 日前完成升級轉換稽核——該期限已屆,2013 版認證自此全面失效,2022 版成為唯一有效版本。仍持舊版或尚未認證的台灣企業,須直接以 2022 版要求進行(重新)認證。本文提供實務指南,協助台灣企業掌握關鍵差異並順利取得或維持認證。
本文聚焦 2022 改版的差異與控制項解析。若您是從零開始評估導入,需要完整的導入流程、時程、費用與文件規劃(差距分析、風險評估、文件建立到認證稽核),請先閱讀 ISO 27001 導入完整流程指南。
一、ISO 27001:2022 vs 2013 版主要差異
控制項架構重組:從 14 類到 4 類
2022 版最顯著的變化是附錄 A(Annex A)的重組。舊版 14 個控制類別、114 項控制措施,重組為以下 4 個主題類別、93 項控制措施:
- 組織控制(Organizational Controls):37 項,涵蓋政策、角色、威脅情資、供應商關係等
- 人員控制(People Controls):8 項,涵蓋員工資訊安全責任、訓練、違規事件通報等
- 實體控制(Physical Controls):14 項,涵蓋實體安全邊界、設備保護、清桌清屏等
- 技術控制(Technological Controls):34 項,涵蓋端點安全、加密、監控、資料遮罩等
11 項新增控制措施(2022 版新增)
以下 11 項控制措施是 2022 版新增,在 2013 版中不存在:
- 5.7 威脅情資(Threat Intelligence):建立情資的收集、分析與分發機制,將外部威脅資訊轉化為防禦行動
- 5.23 雲端服務使用的資訊安全(Information Security for Use of Cloud Services):對雲端服務的採用、使用與退場訂定安全要求,含供應商合約條款
- 5.30 業務連續性的 ICT 準備(ICT Readiness for Business Continuity):BCP 須涵蓋 ICT 系統還原能力(RTO/RPO)並定期演練
- 7.4 實體安全監控(Physical Security Monitoring):對機房、辦公室等敏感區域部署入侵偵測與監視
- 8.9 組態管理(Configuration Management):建立硬體、軟體與網路設備的基準組態與變更控管
- 8.10 資訊刪除(Information Deletion):資料不再需要時安全刪除,涵蓋內部系統與雲端服務
- 8.11 資料遮罩(Data Masking):對個資等敏感資料進行遮罩、假名化或匿名化
- 8.12 資料外洩防護(Data Leakage Prevention):對承載敏感資訊的系統、網路與端點部署 DLP 措施
- 8.16 監控活動(Monitoring Activities):監控網路、系統與應用程式異常行為,及早偵測事件
- 8.23 網頁過濾(Web Filtering):管控對外部網站的存取,降低惡意內容暴露
- 8.28 安全編碼(Secure Coding):在軟體開發生命週期落實安全編碼原則
威脅情資整合:從被動到主動
新增的「5.7 威脅情資」要求組織建立機制,主動收集、分析並應用與組織相關的資訊安全威脅情資。這反映了現代資安從被動防禦轉向主動情蒐的趨勢。
改版對照:不是砍掉重練,而是重組
依 ISO/IEC 27002:2022 附錄 B 的新舊對照表,93 項控制中有 35 項與舊版相同、23 項僅更名、57 項舊控制合併為 24 項,再加上 11 項全新控制。對已運作 ISMS 的企業而言,這代表既有控制措施大多仍然有效,轉換的重點工作是把適用性聲明(SoA)與程序文件對應到新版編號,並針對 11 項新增控制補齊缺口。
屬性標籤:控制措施的五個檢視維度
2022 版與 ISO 27002:2022 對齊,每項控制措施都標上五組屬性:控制類型(#預防 #偵測 #矯正)、資訊安全特性(機密性、完整性、可用性)、網宇安全概念(識別、保護、偵測、回應、復原,對應 NIST CSF 五大功能)、運營能力與安全領域。企業可以用這些屬性多維度檢視 SoA 的涵蓋度,例如快速篩出「偵測類」控制是否過少。
二、哪些企業需要 ISO 27001 認證
台灣政府採購要求
行政院數位部及各機關在資訊系統建置、資安服務採購標案的資格條件中,越來越頻繁地要求投標廠商持有 ISO 27001 認證。若企業有承接政府 IT 標案的計畫,ISO 27001 已實質上成為參標門票。
金融業監管壓力
金融監督管理委員會(金管會)持續強化對金融機構資安要求。保險、銀行、證券等受監管機構的 IT 服務供應商,面臨愈來愈強的壓力需取得 ISO 27001 認證,以通過客戶的供應商資安稽核。
供應鏈要求
台灣許多科技製造業的一線大廠(如台積電、鴻海、聯發科)在供應商管理中納入了資安稽核要求。作為其供應商的中型企業,取得 ISO 27001 認證是維持合格供應商資格的必要條件。而出口導向的製造業還有另一層門檻:歐系車廠供應鏈要求 TISAX、美國國防供應鏈要求 CMMC,兩者都以 ISO 27001 的管理體系為基礎再往上加壓,可對照 TISAX 與 CMMC 供應鏈合規攻略 評估自己還差幾步。
三、從差距分析到取得認證:流程速覽
無論是首次導入,或 2013 版證書失效後重新認證,流程架構相同:準備期(管理層承諾、定義 ISMS 範疇、差距分析)→ 風險評鑑(資產盤點、威脅與弱點識別)→ 控制項導入(落實控制措施、文件撰寫、員工訓練)→ 內部稽核與管理審查 → 認證稽核(第一階段文件審查+第二階段現場稽核)→ 取證後年度監督稽核與三年換證。
本文不展開各階段細節。完整的階段任務、必備文件清單、費用與時程規劃,請見 ISO 27001 導入完整流程指南;以下聚焦 2022 版特有的轉換工作。
四、改版對 ISMS 文件的衝擊:SoA 與程序文件怎麼改
2022 改版對文件面的最大衝擊是適用性聲明(SoA):SoA 必須逐項對應附錄 A 的 93 項新控制編號,不能沿用舊版 14 領域 114 項的架構。實務上的轉換工作包括:
- SoA 重寫:以 93 項新編號重建適用性判斷與理由,善用 ISO 27002:2022 附錄 B 的新舊對照表加速轉換
- 風險處理計畫更新:對 11 項新增控制逐一評估適用性,適用者納入風險處理計畫並指定負責人與時程
- 程序文件改版:23 項更名控制對應的程序書須更新引用的條文編號與名稱
- 新撰文件:雲端服務使用政策(5.23)、資訊刪除與資料遮罩程序(8.10/8.11)、DLP 政策(8.12)、威脅情資作業程序(5.7)多半是企業原本沒有的文件,需要從零撰寫
- 內部稽核檢查表改版:稽核 checklist 須改為 4 大主題 93 項的新架構,才能產出對應新版的稽核證據
至於 ISMS 範疇聲明、風險評估方法論、資訊安全目標等完整必備文件清單,導入指南一文已有整理,此處不重複。
五、轉換 2022 版最常見的五個疏漏
1. SoA 仍沿用舊版編號
最常見的不符合事項:文件宣稱符合 2022 版,SoA 卻仍是 14 領域 114 項的舊架構。這在認證稽核第一階段(文件審查)就會被揪出,直接影響能否進入第二階段。
關鍵指標:若 SoA 的版本欄仍寫 ISO 27001:2013,或控制編號仍是 A.5–A.18 的舊架構,代表轉換尚未真正開始。
2. 新增控制只有紙上政策
寫了雲端安全政策、DLP 政策,但沒有雲端服務清冊、也沒有部署任何對應工具或流程。稽核員會直接查驗政策與實際控制的一致性,紙上政策反而成為明確的稽核缺失。
3. 雲端服務盤點不完整
5.23 要求涵蓋組織使用中的所有雲端服務。各部門自行訂閱的 SaaS(Shadow IT)最容易被遺漏,需要搭配全面盤點與合約安全條款檢視,才能建立完整的雲端服務清冊。
4. 威脅情資流於形式
只訂閱幾份資安新聞不等於符合 5.7。稽核關注的是完整的情資循環:情資來源、分析流程、分發對象,以及據此採取行動的紀錄。
5. 監控與日誌拿不出運作證據
8.16 監控活動要求能證明「有人在看」:告警規則、事件單、處理紀錄缺一不可。只部署了 SIEM 或日誌系統而拿不出運作證據,監督稽核仍會開出不符合項。
六、凱茂資訊 ISO 27001 輔導服務
凱茂資訊具備豐富的資安管理系統導入輔導經驗,提供以下服務協助台灣企業取得 ISO 27001:2022 認證:
- Gap Analysis 差距分析:全面評估現況與 ISO 27001:2022 要求的差距,產出具體的改善清單
- 顧問陪跑導入:資深顧問全程陪伴,協助各部門理解並落實控制措施
- 文件代製服務:依貴公司實際情況客製化撰寫所有必備政策與程序文件
- 員工資安訓練:提供符合 ISO 27001 要求的全員資安意識培訓課程
- 模擬稽核:正式稽核前進行模擬稽核,提前發現並矯正不符合事項
- 認證後維護支援:協助執行年度內部稽核、管理審查,確保認證持續有效
重點摘要
- 控制措施從 14 領域 114 項重組為 4 大主題 93 項(35 不變、23 更名、57 併為 24、11 新增)
- 新增 11 項控制:威脅情資、雲端服務資安、DLP、組態管理、安全編碼等
- 2013 版認證已於 2025 年 10 月 31 日全面失效,須以 2022 版重新完整認證
- 轉換第一步:SoA 與風險處理計畫改用新版 93 項控制編號重寫
不確定現況或下一步該怎麼做?凱茂資深工程師用實戰經驗,協助您釐清問題、找出最適合貴公司的做法。
預約免費 Gap Analysis 評估 →常見問題
ISO 27001:2022 跟 2013 版有什麼差別?
主要變化:(1) 控制項從 14 領域 114 項精簡為 4 主題 93 項(組織、人員、實體、技術);(2) 新增 11 個控制項(含雲端安全、威脅情資、DLP、安全編碼、監控等);(3) 控制項加入屬性標籤(#預防 #偵測 #矯正)。核心架構(PDCA 循環、風險評鑑)不變。
2013 版證書過渡期已截止,還沒轉版怎麼辦?
2013 版轉 2022 版的全球過渡期已於 2025 年 10 月 31 日截止,逾期未完成轉版的證書即失效,也無法再走簡化的轉版稽核。企業須以 2022 版重新進行第一階段(文件審查)+第二階段(現場稽核)的完整認證。建議先對照 93 項控制措施做差距分析,把 SoA 與風險處理計畫更新為新版控制編號,優先補齊 11 項新增控制中落差最大的項目,再啟動認證稽核。
2022 版新增的 11 項控制措施,企業應優先落實哪些?
實務上落差最常出現在:5.23 雲端服務資安(盤點雲端服務清冊與合約安全條款)、8.12 資料外洩防護(DLP 政策與工具)、5.7 威脅情資(建立情資收集與分發機制)、8.9 組態管理(基準組態與變更控管)、8.16 監控活動(異常行為偵測與告警)。建議依風險評鑑結果排序,先處理與核心業務系統及雲端環境相關的控制項。
訂閱 IT 技術電子報
每月精選 IT 趨勢與實務文章,直接送到你的信箱