ISO/IEC27002提供基于信息安全管理體系標準認證時作為組織定制其安全控制或控制實施的指南。

什么是ISO/IEC 27002

ISO/IEC27002提供基于信息安全管理體系標準認證時作為組織定制其安全控制或控制實施的指南。

國際標準化組織 / 國際電工委員會于2013年發布了ISO/IEC 27002:2013 《信息技術 安全技術 安全控制實踐指南》,組織可基于ISO/IEC 27002:2013在實現信息安全管理體系(ISMS)過程中選擇控制時的參考,也可以作為實現通用信息安全控制時的指南。

2022年,ISO/IEC發布了ISO/IEC 27002:2022《信息安全、網絡安全和隱私保護 信息安全控制》

ISO/IEC 27002:2022新版變化

1、標準名稱修改為ISO/IEC 27002:2022《信息技術安全技術 信息安全、網絡安全和隱私保護  信息安全控制》,去除了“實踐指南”,增加“網絡安全、隱私保護”,更好地反映該標準是作為組織選擇信息安全控制參考集的目的,以及適應當前新型信息技術給組織帶來新業態下,對信息安全管理的新需求。

2、ISO/IEC 27002:2022改變了信息安全控制的組織結構 :基于控制責任主體這個主題,從組織、人員、物理和技術 4個維度形成簡潔的控制集:
(1) 人員控制, 如果控制責任主題是 涉及個人;
(2) 物理控制, 如果控制責任主題 涉及實物 ;
(3) 技術控制, 如果控制責任是涉及技術 ;
(4) 組織控制, 其他的控制責任主體不屬于上述三類的都歸并到組織相關的控制。
2022版標準將 2013 版本的第 5-18 章的 14 個控制域的相關控制重新組織成 4 個章節

3、基于以上4個維度,新版標準保留了ISO/IEC 27002:2013 的所有控制,只刪除其中一個資產移動(11.2.5)控制項,并通過目的導向或主體與實體合并、控制技術和內容的抽象等方式將2013版的 114 個 控制項合并優化縮減到 82 個,并添加了因新技術、新業態等安全控制相關的 11 個 新控制,覆蓋信息安全、網絡安全和隱私保護相關控制,總計93個,其中:組織控制37個,人員控制8個,物理控制14個,技術控制34個。

4、2022版標準在控制結構組成中增加了控制屬性元素,五類屬性包括控制類型、信息安全屬性、 網絡安全概念、 運營能力和安全域 。

ISO/IEC 27002標準的變化給組織帶來了什么?

  • 新版標準能夠更好的滿足了組織在進行 ISO/IEC 27001 認證時能選擇得到業界認可的、反映了最新信息技術與網絡環境下,組織在信息安全管理控制措施上的需求,組織可以更好的保證實施信息安全控制的實時性、先進性、可用性和實用性。
  • 組織可直接依照風險評估中的風險處置想達到的效果 ( 即目的 ) 來選擇ISO/IEC 27002:2022基于組織、人員、物理和技術 4 個維度的合適的控制。
  • 依據控制的 5 類屬性的不同值,組織可創建滿足不同于場景下組織的各種業務、法律法規要求和風險處置要求。這種簡潔的控制結構和基于控制屬性創建控制集視圖的控制使用方式給組織在選擇信息安全控制提供了靈活性和可操作性。
  • ISO/IEC 27002:2022是一次對標準的全面修訂,預示著未來新版的ISO/IEC 27001會有非常顯著的變化,對于組織來講無論是否已經通過 ISO/IEC 27001 信息安全管理體系認證, 或仍在為之努力,Intertek 強烈建議領先一步,立即將 ISO/IEC 27002 標準的變化納入到組織的信息安全管理過程中去, 保證未來 ISO/IEC 27001 的認證會更加有效。

Intertek服務

Intertek緊跟標準發展,致力于為企業提供全方位的信息安全管理體系方案。可為客戶提供的服務包括:

Contact Intertek