A目前可以按照FDIS版本做差距分析，新版在本月底（10月24日）正式发布后才能进行ISO/IEC27001:2022新版认证，新版证书的发放取决于认可机构的认可进度。

 

 

 

 

A还可以按照旧版进行审核，但2025年9月证书就失效了，建议可以准备按照新的版本进行审核，不要拖到最后的时间。

 

 

 

 

A信息安全风险评估在最新ISO/IEC 27001:2022标准中没有太大的变化，但在ISO/IEC 27005:2018标准中讲了风险评估的一个方法论，更强调的是从业务的角度识别业务风险及识别威胁漏洞，根据发生的可能性从量化、定量、定性算出风险的大小，然后按照企业的风险偏好，采取相应的风险控制措施。

 

 

 

 

A不在SOA里面的控制项，企业也可以继续添加，实施信息安全管理控制。因为标准只是提供一个起点，企业可以从标准里面去选取适用的控制项，按照实际去补充新的控制项。在ISO/IEC 27000系列标准中，提供了其它的标准供企业选择补充新版ISO/IEC 27001:2022标准中SOA的控制项。例如：关于应用安全ISO/IEC 27034:2011标准，可以在ISO/IEC 27001:2022中追加ISO/IEC 27034:2011应用安全的控制项，或增加ISO/IEC 27040:2015存储安全的控制项。

 

 

 

 

A目前正准备进行认证的企业，建议可以先使用新版ISO/IEC 27001:2022做一个差距评估分析，根据差距的程度评估，选择适合的版本进行认证。评估差距不大，可直接申请新版本的认证，过程中会涉及到执行的差距不大，但会涉及少量的更新工作，如在文件的准备上，需要按照新版本更新SOA控制项。评估差距很大，可以给自己预留充足的时间窗（如1年的时间）再进行升版。