2025 年 10 月 31 日 ISO 27001:2013 版正式失效，国内 3200 家企业启动转版

2025 年 10 月 31 日 ISO 27001:2013 版正式失效，国内 3200 家企业启动转版

【标准定位】

ISO/IEC 27001:2022 于 2022 年 10 月 25 日正式发布，是国际公认的信息安全管理体系（ISMS）标准。2022 版对旧版进行重要调整：附录 A 控制项从 14 类 114 项重构为 4 大主题 93 项控制（组织控制 37 项、人员控制 8 项、物理控制 14 项、技术控制 34 项）；新增 11 项控制措施，包括威胁情资（5.7）、云端服务安全（5.23）、ICT 业务连续性（5.30）、物理安全监控（7.4）、组态管理（8.9）、资料删除（8.10）、资料遮罩（8.11）、资料外泄防护（8.12）、监控活动（8.16）、网页过滤（8.23）、安全编码（8.28）。所有持有 2013 版证书的企业必须在 2025 年 10 月 31 日前完成转版。

【IT 企业核心价值】

政府采购要求：行政院数位部及各机关在资讯系统建置、资安服务采购标案中，ISO 27001 已实质上成为参标门票。金融业监管：金管会持续强化对金融机构资安要求，保险、银行、证券等受监管机构的 IT 服务供货商必须取得 ISO 27001 以通过客户供应商资安稽核。供应链要求：台积电、鸿海、联发科等一线大厂在供应商管理中纳入资安稽核要求，ISO 27001 是维持合格供应商资格的必要条件。

【12-18 个月导入路线图】

准备期（第 1-2 个月）：取得管理层承诺、定义 ISMS 范畴、进行 Gap Analysis、组建导入小组。风险评估（第 2-4 个月）：资产盘点与分类、威胁与弱点识别、风险计算、风险接受准则定义。控制项导入（第 4-10 个月）：依据风险处理计划逐一落实控制措施、文件撰写、员工训练。内部稽核（第 10-12 个月）：执行内部稽核、管理审查、不符合事项矫正、模拟稽核。认证稽核（第 12-15 个月）：第一阶段稽核（文件审查）、第二阶段稽核（现场稽核）、取得认证书。持续维护：年度监督稽核（每年）、三年后换证稽核、持续改善。

【IT 企业典型场景与预算】

场景 A：SaaS/云服务提供商 - 必拿 ISO 27001 + ISO 27017 + ISO 27018 + SOC 2。场景 B：金融科技 - 必拿 ISO 27001 + PCI DSS + 等保 2.0 三级。场景 C：政企 IT 服务商 - 必拿 ISO 27001 + CMMI 3 级。场景 D：AI/大模型公司 - 必拿 ISO 27001 + ISO 42001（AI 管理）。预算方面，单体系新申请 8-15 万元，年审 3-5 万元，再认证 8-12 万元，加 SOC 2 / ISO 27701 / ISO 27017 多体系一体化 12-20 万元，节省 30-40%。