品质协会(www.PinZhi.org)

 找回密码
 加入协会

QQ登录

只需一步,快速开始

查看: 1893|回复: 6

ISO 27001:2022改版重點

[复制链接]

7

主题

55

回帖

0

精华

品质协会初级会员

Rank: 2

积分
119
品质币
57
职位
1
发表于 2022-11-9 14:11:41 | 显示全部楼层 |阅读模式
ISO 27002新版草案的內容而言,有何不同變化?從目前的改版進度來看,可彙整成下列4大焦點。

首先,單就標題命名的方式上,就有很明顯的變動。以ISO 27001:2013為例,其採用的名稱為「資訊科技—安全技術—資訊安全管理系統—要求」,原本最前面是「資訊科技(Information Technology)」,未來將改為「資訊安全、網路安全及隱私保護」,英文全稱是「Information Security,Cybersecurity and Privacy protection」。

隨著名稱的適度調整,我們可以預期,新版標準在涵蓋廣度將有所增加,畢竟,資訊安全、網路安全與隱私的保護,在適用範疇上仍存在些許差異。

第二,控制要求的內容,將有大幅變動與新增。

依照目前ISO 27002新版草案的內容來看,對比現行版本,也就是對應原本的Annex A.5~A.18,新版草案對於控制要求與措施,將有大幅度的打散重整,並有多項新增。

具體而言,在控制類型上,新版草案畫分為4大控制類,暫時共有93項控制措施。這4大主題分別為:組織控制、人員控制、實體控制與技術控制。

特別的是,控制措施雖然看似比之前的108項要少,但劉士弘強調,相關的要求其實並未降低,原因在於,新版將控制措施有了更好的整併,因此,內容將是更為廣泛與深入。

根據SGS的觀察,新版控制措施將原有的56項,綜合整理為24項,另有58項無變動,特別的是還新增加了11項,僅刪除1項。
關於控制措施合併的方式,以新版合併的「變更管理」為例,劉士弘表示,以往企業處理這方面議題時,有點棘手,因為不管是組織自己導入或是顧問協助,關於變更管理的概念,其實分布在多個條文,例如:12.1.2「變更管理」、14.2.2「系統變更控制程序」、14.2.3「運作平臺變更後應用系統技術審查」,與14.2.4「軟體套件變更之限制」。新版草案則將原有的4項相關要求,綜合整理為1項,也就是8.23「變更管理」,直接包含了流程、人員、系統、平臺與軟體套件的變更。他認為,這樣的作法,將讓整個條文完整度與一致性更高,不像現行版本如此分散。

至於唯一將刪除的控制措施,只有現行版本提到的11.2.5「財產之攜出」,不過,劉士弘指出,要做的事情其實仍然存在,因為在新版的兩項控制措施中,就有場域外的資產保護與資訊刪除

新增11項控制要求,自動化工具執行成關鍵

新版草案的第三個焦點在於,除了控制措施的大幅整併,新增的項目更令企業在意。

關於上述ISO 27002新版草案新增的11項控制要求,分別是:威脅情資、雲端服務資安、資通訊技術營運持續整被、實體安全監視、組態管理、資訊刪除、資料遮罩、資料外洩防護、檢視活動、網站過濾與安全程式碼撰寫。

具體而言,在新版草案增加的控制要求有哪些重點?

例如,威脅情資將納入控制要求,劉士弘指出,在實作指引中,說明了有效威脅情資的4大特性,包括需與組織保護有關,讓組織可以對威脅有準確與詳細的了解,也要為情資添加情境,並且可以有效採取行動。

而隨著雲服務的應用越來越普遍,這些雲端服務的管理與使用,也納入管控規範,算是補強各界期待已久的缺口。在涵蓋面向中,包含雲服務風險識別與管理、使用政策、供應商協議,以及退出、變更與轉移的策略。

在實體安全監視方面,過去雖有相關規範,但具體要監控到什麼程度,並不明確,新版草案則有清楚的說明,將提升實體安全概念的強度提升。在實作指引中有3大重點,包括實體場域要有持續的監控,像是警衛、入侵警報與CCTV監控系統等,以及實體安全監控範圍是要涵蓋關鍵系統的建築物,還有監控強度要足夠,包括能追溯查看、入侵偵測與警報、防竄改與個資隱私合規。

關於組態管理方面,這是過去大家都很困擾的議題,因為涵蓋面向大,而新版草案增加這項控制要求的目的,是要協助做到符合組織安全政策要求,而管控重點是確保不被未經授權或錯誤變更。在其納管範圍,將包含軟體、硬體、服務、網路與安全的組態,同時也涵蓋組態模板、組態套用、變更管理,以及監視與審查等面向。

還有像是活動的控制要求,當中涵蓋了網路、系統和應用程式的異常行為監控,以及所需採取的行動,其實,此項新的控制要求隱含了資訊安全監控中心(SOC)的影子,這意味著,要有基礎的SOC機制在組織內運作。

至於安全程式碼撰寫方面,過去其實已有系統購置、開發及維護的控制要求,但唯獨少了軟體開發安全程式碼的層面,新版草案終於有所補強,將系統開發與資訊系統生命週期說明更清楚,要將安全程式碼撰寫原則定義出來。

值得注意的是,劉士弘認為,這次新版草案中所新增的許多控制措施,依據實作指引提供的方向來看,若企業無更多資源或是自動化工具,在執行上會相當辛苦。為何會如此?他認為,以往的控制措施,可採用技術或管理等手段來因應,對於預算或資源不足的組織而言,尚且可以透過管理方式達到管控。

ISO/IEC 27000:2018《Information technology — Security techniques — Information security management systems — Overview and vocabulary》
http://www.pinzhi.org/forum.php?mod=viewthread&tid=82359

ISO/IEC 27001:2022 《Information security, cybersecurity and privacy protection — Information security management systems — Requirements》
http://www.pinzhi.org/forum.php?mod=viewthread&tid=82246

ISO/IEC 27002:2022 《Information security, cybersecurity and privacy protection — Information security controls》
http://www.pinzhi.org/forum.php?mod=viewthread&tid=78481

ISO 27002:2022信息技术-安全技术-信息安全控制实用规則(en) 下载
http://www.pinzhi.org/forum.php?mod=viewthread&tid=78481

ISO/IEC 27002-2022 《信息技术 网络安全与隐私保护 信息安全控制》-中文版
http://www.pinzhi.org/forum.php?mod=viewthread&tid=81178
1. 问答、交流探讨的帖子,回帖时,请不要发纯表情等无价值回帖,无意义,太多了影响用户体验,经常这样账号会被扣分甚至禁号的;
2. 品质协会是个学习、交流分享的平台,所有资料和内容归作者和版权方所有,需要正版标准、资料的请去相关的官方网站等平台购买。

1

主题

2706

回帖

0

精华

品质协会高级会员

Rank: 4

积分
15046
品质币
12339
职位
6
发表于 2022-11-11 08:20:47 | 显示全部楼层
感谢楼主分享
您需要登录后才可以回帖 登录 | 加入协会

本版积分规则

《品质协会规则》|品质币|手机版|品质B2B|联系我们|注册加入协会|品质协会(www.PinZhi.org) |网站地图

GMT+8, 2024-11-23 16:26 , Processed in 0.034160 second(s), 6 queries , Gzip On, Redis On.

Powered by 品质协会 © 2010-2024

品质人,让生活和环境变得更美好!!!

快速回复 返回顶部 返回列表