什么是ISO/IEC 27002
ISO/IEC27002提供基于信息安全管理體系標(biāo)準(zhǔn)認(rèn)證時作為組織定制其安全控制或控制實施的指南。
國際標(biāo)準(zhǔn)化組織 / 國際電工委員會于2013年發(fā)布了ISO/IEC 27002:2013 《信息技術(shù) 安全技術(shù) 安全控制實踐指南》,組織可基于ISO/IEC 27002:2013在實現(xiàn)信息安全管理體系(ISMS)過程中選擇控制時的參考,也可以作為實現(xiàn)通用信息安全控制時的指南。
2022年,ISO/IEC發(fā)布了ISO/IEC 27002:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護 信息安全控制》
ISO/IEC 27002:2022新版變化
1、標(biāo)準(zhǔn)名稱修改為ISO/IEC 27002:2022《信息技術(shù)安全技術(shù) 信息安全、網(wǎng)絡(luò)安全和隱私保護 信息安全控制》,去除了“實踐指南”,增加“網(wǎng)絡(luò)安全、隱私保護”,更好地反映該標(biāo)準(zhǔn)是作為組織選擇信息安全控制參考集的目的,以及適應(yīng)當(dāng)前新型信息技術(shù)給組織帶來新業(yè)態(tài)下,對信息安全管理的新需求。
2、ISO/IEC 27002:2022改變了信息安全控制的組織結(jié)構(gòu) :基于控制責(zé)任主體這個主題,從組織、人員、物理和技術(shù) 4個維度形成簡潔的控制集:
(1) 人員控制, 如果控制責(zé)任主題是 涉及個人;
(2) 物理控制, 如果控制責(zé)任主題 涉及實物 ;
(3) 技術(shù)控制, 如果控制責(zé)任是涉及技術(shù) ;
(4) 組織控制, 其他的控制責(zé)任主體不屬于上述三類的都?xì)w并到組織相關(guān)的控制。
2022版標(biāo)準(zhǔn)將 2013 版本的第 5-18 章的 14 個控制域的相關(guān)控制重新組織成 4 個章節(jié)
3、基于以上4個維度,新版標(biāo)準(zhǔn)保留了ISO/IEC 27002:2013 的所有控制,只刪除其中一個資產(chǎn)移動(11.2.5)控制項,并通過目的導(dǎo)向或主體與實體合并、控制技術(shù)和內(nèi)容的抽象等方式將2013版的 114 個 控制項合并優(yōu)化縮減到 82 個,并添加了因新技術(shù)、新業(yè)態(tài)等安全控制相關(guān)的 11 個 新控制,覆蓋信息安全、網(wǎng)絡(luò)安全和隱私保護相關(guān)控制,總計93個,其中:組織控制37個,人員控制8個,物理控制14個,技術(shù)控制34個。
4、2022版標(biāo)準(zhǔn)在控制結(jié)構(gòu)組成中增加了控制屬性元素,五類屬性包括控制類型、信息安全屬性、 網(wǎng)絡(luò)安全概念、 運營能力和安全域 。
ISO/IEC 27002標(biāo)準(zhǔn)的變化給組織帶來了什么?
Intertek服務(wù)
Intertek緊跟標(biāo)準(zhǔn)發(fā)展,致力于為企業(yè)提供全方位的信息安全管理體系方案。可為客戶提供的服務(wù)包括:
