The ISO 27001:2022 Update: Everything You Need To Know


Information security is becoming increasingly important in today's digital age, and the International Standards Organization (ISO) has published the latest update to the internationally recognized information security standard, ISO 27001:2022, on October 25, 2022. This article will provide an overview of the main changes in the mandatory clauses, Annex A, and how to transition to this new ISO 27001:2022 update.


Mandatory Clauses:

The changes to the mandatory clauses are not significant, but there are a few noteworthy changes:

  • Clause 4.4 Information security management system: This new clause requires the identification of processes and their interactions, similar to ISO 9001.
  • Several clauses and notes make it clear that the Annex A controls are not exhaustive and should be used as a baseline. Organizations should identify any necessary additional controls, risks, etc. based on their own environment.
  • Clause 6.2 Information Security objectives: Objectives must now be documented and available for all stakeholders.
  • Clause 6.3 Planning of changes: All changes must now be documented and planned.
  • Clause 8.1 Operational planning and control: Organizations must define criteria for operational processes.
  • Clause 9 Performance evaluation: Methods to evaluate and monitor controls must produce comparable results to assess trends.
  • Clause 9.2 Internal audits: Internal assessments must now cover all organizations' requirements, not just ISO 27001.


Annex A:

The biggest change in ISO 27001:2022 is the restructuring and revision of Annex A. The number of controls has been reduced from 114 to 93, and they are now divided into four sections instead of the previous 14. This change aims to make the standard more concise and easier to implement. The new sections and controls are:

  • Section 5: Organizational (37 controls)
  • Section 6: People (8 controls)
  • Section 7: Physical (14 controls)
  • Section 8: Technology (34 controls)


How Will The Update Affect Your Organization?

If you are implementing ISO 27001:

You don't need to panic, as certification entities will likely offer certification to ISO 27001:2022 just six months after its publication. Additionally, ISO 27001:2013 will still be valid for another three years, so all your work towards implementing ISO 27001:2013 will still be useful. However, you may want to use the new Annex A controls from ISO 27001:2022 as an alternative control set, depending on your progress with ISO 27001:2013 implementation.


If you are already certified to ISO 27001:2013:

You will have time to fully migrate to the new requirements, and the best time to do so is before your next internal audit. Allocating internal audit activities three months before the external assessment will allow you to identify and fix any potential nonconformities before the external assessor arrives.


מנהלת איכות מקצועית עומדת מול לוח דיגיטלי עם גרפים צבעוניים שמייצגים נתונים על AI (כמו עמודות, עוגה,

20 סטטיסטיקות על בינה מלאכותית שאסור לכם להתעלם מהן ב-2025

By Ronit Sade June 12, 2025
הבינה המלאכותית כבר לא עתיד – היא כאן, והיא משנה את הכללים. בפוסט הזה תמצאו 20 סטטיסטיקות מפתיעות על AI לשנת 2025: מה השוק שווה, כמה אנשים משתמשים, איך זה משפיע על תעשיות כמו מזון, פרמצבטיקה וציוד רפואי, ואילו אתגרים ורגולציות כבר מחכים מעבר לפינה.
שולחן ישיבות מואר, עם מסך גדול שמציג מצגת או דשבורד תחת הכותרת

BCP בסטייל: איך בונים המשכיות עסקית שלא רק מגיבה – אלא מובילה

By Ronit Sade June 5, 2025
פוסט חדש בבלוג מגלה איך בונים תוכנית המשכיות עסקית (BCP) – לא כטופס לארגז, אלא ככלי שמייצר חוסן אמיתי. איך לזהות סיכונים, לכתוב תוכנית שלא מתביישים להציג, לתרגל נכון – ולצאת חזקים יותר מכל תרחיש. וכמו תמיד אצלנו? עושים את זה בסטייל.
שולחן עבודה מודרני בסביבה הייטקיסטית, עם טאץ' יוקרתי ומוקפד: מסך מחשב גדול המציג גרף של מערכת AI או

ISO 42001 בסטייל: בינה מלאכותית שאפשר לסמוך עליה

By Ronit Sade May 29, 2025
🧠 הבינה המלאכותית כבר כאן – אבל האם אפשר לסמוך עליה? תקן ISO 42001 הוא התשובה החדשה לשאלה איך מנהלים מערכות AI בצורה אחראית, שקופה ובטוחה. במקום עוד תקן מסורבל, אנחנו מציעים דרך אחרת: יישום רגולציה – בסטייל – שמביאה איתה גם סדר, גם ערכים, וגם יתרון תחרותי. 📎 בפוסט החדש תמצאו את כל מה שצריך לדעת כדי להתחיל נכון.
שולחן עבודה מודרני במשרד מואר, עם טאץ’ מקצועי ואלגנטי: לפטופ פתוח עם תצוגה של Dashboard לניהול אבטח

ISO 27001 בסטייל: אבטחת מידע שנראית טוב גם מבפנים

By Ronit Sade May 22, 2025
🔐 ISO 27001 כבר לא חייב להיראות כמו מסמך משפטי מיושן. אם חשוב לך לשמור על המידע שלך – וגם על התדמית שלך – הפוסט הזה בשבילך. במקום להיכנע לתהליכים מסורבלים ונהלים שאף אחד לא קורא, אנחנו מציגים דרך אחרת: יישום תקן אבטחת מידע בינלאומי בסטייל – עם גישה שמכבדת את הזמן שלך, את הצוות שלך ואת הלקוחות שלך. למה זה משתלם, איך עושים את זה נכון, ואיך להפוך את זה ליתרון שיווקי ממשי? 📎 כל התשובות – בפנים.
שולחן עבודה מעוצב, מסודר בקפידה אך מלא חיים – לפטופ פתוח עם תרשים זרימה של תהליך רגולטורי. פנקס עם

רגולציה בסטייל – איך להפוך את האתגר למנוע צמיחה?

By Ronit Sade May 17, 2025
רגולציה. דרישות. מבדקים. רוב הארגונים רואים בזה כאב ראש. אני רואה בזה הזדמנות לצמיחה, לדיוק, ולבידול אמיתי. בפוסט החדש בבלוג אני מגלה איך לנהל רגולציה – בסטייל: בגישה חכמה, יצירתית ומותאמת אישית. למה זה משתלם, איך זה חוסך זמן וכסף, ואיך להפוך את זה ליתרון תחרותי שמושך לקוחות ויוצר שקט נפשי.
דירקטוריון בישיבת חירום על אירוע סייבר בעקבות תקנות SEC החדשות

SEC משנה את חוקי המשחק: דיווח סייבר חדש – מה זה אומר לחברות ציבוריות?

By Ronit Sade May 8, 2025
תקנות חדשות של ה-SEC מטלטלות את עולם אבטחת המידע: חברות ציבוריות בארה"ב (וגם חברות זרות הפעולות מולה) מחויבות לדווח על אירועי סייבר תוך 4 ימי עסקים ולחשוף את תהליכי ניהול הסיכונים שלהן בדוח השנתי. בפוסט הזה תגלו מה בדיוק דורש הרגולטור, איך זה משנה את האחריות של דירקטורים והנהלה – ואיך להיערך בהתאם בעזרת תקן ISO 27001 ותהליכי ניהול חכמים.
איך סיסמאות נפרצות

סיסמאות – קו ההגנה הראשון שנשחק הכי מהר. הגיע הזמן לעצור את זה.

By Ronit Sade May 1, 2025
בעידן של בינה מלאכותית, ענן ומערכות מורכבות – האיומים הגדולים ביותר על הארגון שלך עדיין מתחילים בסיסמה חלשה אחת. בפוסט הזה תגלו למה דווקא הסיסמאות הן קו ההגנה הראשון והכי פגיע, איך ISO 27001 נותן לזה מענה אמיתי, ואיך אפשר להפוך את העובדים ממקור סיכון – לחומת מגן.

שינוי כללי המשחק: FAO ו-WHO מציגות מסגרת מדעית חדשה לסימון אלרגנים במזון

By Ronit Sade April 10, 2025
מה משותף לחלב, אגוזים וחיטה? הם חלק מרשימת האלרגנים שזכו למבט חדש לגמרי מה-FAO וה-WHO. בפוסט החדש בבלוג, אנחנו צוללים למסגרת המדעית החדשה לסימון אלרגנים במזון – גישה מבוססת סיכון שתשנה את הדרך בה יצרנים, רגולטורים וצרכנים מתמודדים עם אלרגיות. 👨‍🔬 פחות בלבול, יותר דיוק. פחות "אולי מכיל", יותר מדע. 📍 הכירו את האלרגנים העולמיים, ספי החשיפה החדשים ומהפכת הסימונים שכבר מתחילה.
קרחון שמייצג את עלות האיכות, עם החלק הגלוי מעל המים והחלק הנסתר שמתחת… ויועצת אחת עם זכוכית מגדלת שמ

מעבר לקצה הקרחון: העלות האמיתית של איכות גרועה ואיך מערכת ניהול איכות יכולה להציל את העסק

By Ronit Sade April 3, 2025
העלות של איכות ירודה? זה לא רק מה שנראה לעין. מאמר חדש בבלוג חושף את הקרחון שמתחת לפני השטח: מהן העלויות הנסתרות של איכות ירודה, איך הן מרוקנות את התקציב שלך – ואיך מערכת ניהול איכות חכמה יכולה לעצור את הדימום. 💡 עם דוגמאות מהשטח, תובנות יישומיות וטיפים לשינוי תרבותי שיחסוך לך הרבה כאבי ראש (וכסף). 📥 קריאה חובה לכל מי שמנהל איכות, רגולציה או תפעול.
איור צבעוני של יועצת בטיחות עם רובוט AI ידידותי, עובדים יחד על מסמכי תקינה של ISO בתחום ציוד רפואי ו

מעבר ל-צ'קליסט: איך בינה מלאכותית יכולה לעזור לארגונים לעבור מבדקי ISO בציוד רפואי ואבטחת מידע – ולהרוויח מזה הרבה יותר

By Ronit Sade March 27, 2025
למה מבדקי ISO הם הזדמנות ולא סיוט? כי כשהם מנוהלים נכון – עם בינה מלאכותית לצידך – הם הופכים לכלי שמקדם תהליכים, מגביר שליטה ומונע טעויות. במאמר החדש אני מסבירה איך לשלב AI בהיערכות ל-ISO 13485 ו-27001, כולל טיפים, דוגמאות מהשטח, וכלים פרקטיים שיחסכו לך זמן, לחץ – וטעויות יקרות. 📋 רוצה לעבור מבדקים עם ביטחון? זה מתחיל כאן.