新版ISO/IEC 27002:2022标准发布及关键变化点解读
ISO/IEC 27002:2022 《Information security, cybersecurity and privacy protection — Information security controls》《信息安全、网络安全和隐私保护—信息安全控制》于2月15日完成修订并正式出版。本标准为ISO/IEC 27001标准附录A中提及的信息安全控制以及控制的目标和实施提供指导,以解决各组织机构的信息安全风险。随着新版ISO/IEC 27002的修订发布,ISO 27001的改版动向也备受关注,本次修订将触发对ISO/IEC 27001进行部分更新及修订,确保其附录A与ISO/IEC 27002:2022标准保持一致。关于ISO/IEC 27001过渡计划的详细信息预计将于2022年下半年发布。
相比2013版ISO/IEC 27002标准,新版ISO/IEC 27002:2022做了哪些关键的变化?
标准名称&结构调整
标准不再被称为“控制实践指南”,标准的新标题为“信息安全、网络安全和隐私保护-信息安全控制”。
标准结构发生了变化:全文共有8个章节和2个附录。
控制项数量
新版本中列举的控制项数量从114个减少到93个,新增了11个控制项,合并了部分控制项,并删除了部分控制项。
控制域和控制重新划分
新版标准中的93个控制被重新划分为 4 个域,且与5个属性相关联。
[*]组织控制 37
[*]人员控制 8
[*]物理控制 14
[*]技术控制 34
增加了属性描述
新版标准对每项控制增加了一项属性描述,提供了一种标准化的方式对不同视角的控制进行排序和筛选,以满足不同组织的需求。
属性属性值
控制类型预防性、检测性和纠正性
信息安全属性机密性、完整性和可用性
网络安全概念识别、保护、检测、响应和恢复
运营能力治理、资产管理、信息保护、人力资源安全、物理安全、系统和网络安全、应用程序安全、安全配置、身份和访问管理、威胁和漏洞管理、连续性、供应商关系安全、法律和合规性,信息安全事件管理和信息安全保障
安全领域治理和生态系统、保护、防御和恢复能力
标准内容更加全面性
其描述了全球范围内与越来越多地使用云端服务的信息安全风险、网络安全风险等有关的变化,并纳入了与威胁情报、数据泄漏防护、使用云端服务的信息安全、全球安全监控和数据屏蔽等有关的主题。
新版ISO/IEC 27002:2022增加了网络安全和隐私保护方面的内容,为组织的合规性运营提供了新的保障点,适用于任何有信息安全、并期望通过信息安全控制以实现最佳实践的组织。企业应在原有控制措施基础上,重点加强对隐私和网络安全的关注。
这些变化反映了全球各组织对数字化世界中出现的新风险的关注,从而促进了组织在数字化转型计划的延续和/或采用新的网络安全战略。
保持最新的ISMS,您的组织才能够应对日益变化和更加复杂的安全风险,提高组织的实力,确保组织在业务上的连续性,为组织的各项业务流程升值并获得竞争优势。
ISO 27002:2022信息技术-安全技术-信息安全控制实用规則(en 英文版)
https://www.pinzhi.org/thread-78481-1-1.html
ISO/IEC 27002-2022 《信息技术 网络安全与隐私保护 信息安全控制》-中文版
https://www.pinzhi.org/forum.php?mod=viewthread&tid=81178 感谢分享! 谢分享 感谢分享! 感谢分享! {:1_180:}{:1_180:}{:1_180:} 感谢分享! 謝謝分享 {:1_180:}