ISO（國際標準化組織）和IEC（國際電工委員會(huì )）是為國際標準化制定專(zhuān)門(mén)體制的國際組織，ISO/IEC 27002是一份指導文件，旨在用于實(shí)施基于ISO/IEC 27001信息安全管理體系(ISMS)時(shí)，選擇控制項的參考，或作為組織實(shí)施普遍接受的信息安全控制項的指南。

 

目前ISO/IEC 27002:2013版自2018年起由ISO/IEC JTC 1/SC27修訂，新版本已于2022年2月15日正式發(fā)布。ISO/IEC 27002信息安全、網(wǎng)絡(luò )安全和隱私保護-信息安全控制為組織信息安全標準提供指導，并為信息安全管理提供最佳實(shí)踐。它考慮了一個(gè)企業(yè)獨特的信息安全風(fēng)險環(huán)境，通過(guò)關(guān)注組織的選擇、實(shí)施和管理的安全控制。適用于任何有信息安全及期望通用信息安全控制實(shí)現最佳實(shí)踐的組織。

ISO/IEC 27002:2022是全面修訂嗎？

是的，ISO/IEC 27002:2022是對標準的全面修訂。ISO/IEC 27002:2022出版后，2013版將廢止。

 

修訂后的ISO/IEC 27002:2022有哪些調整？

 

修訂后的ISO/IEC 27002:2022標準調整了現有控制項的結構，將列舉的安全控制項從114個(gè)減少至93個(gè)，并刪除了一些未能反映最佳實(shí)踐的控制項。

 

在ISO/IEC 27002標準的最新版本中，新增了11個(gè)控制項，包括威脅情報、使用云端服務(wù)的信息安全以及數據泄露防護等。這樣一來(lái)，不管網(wǎng)絡(luò )攻擊的性質(zhì)如何變化，企業(yè)都能夠持續控制其信息安全。

 

ISO/IEC 27002新增了哪些內容？

 

01）ISO/IEC 27002已通過(guò)審查，方便企業(yè)采用該標準。此外，ISO/IEC 27002仍舊秉持其原有目標，確保不遺漏任何一個(gè)重要的控制項。將控制劃分為四大類(lèi)別，分別為：技術(shù)控制、組織控制、人員控制和實(shí)體控制。02）定義了其他控制屬性，例如：控制類(lèi)型屬性：偵測、預防或矯正；網(wǎng)絡(luò )安全屬性：基于NIST網(wǎng)絡(luò )安全框架的識別、保護、偵測、響應和恢復功能；信息安全屬性：機密性、完整性和可用性等。03）可以針對不同的受眾，從不同的角度按屬性對控制項進(jìn)行過(guò)濾、排序和呈現。

 

對ISO/IEC 27001:2013的影響

 

1. 2022年，是否會(huì )因ISO/IEC 27002的修訂而對ISO/IEC 27001作出變更？

 

將對ISO/IEC 27001進(jìn)行部分修訂，以更新ISO/IEC 27002:2022（修訂版）附件A中的控制項，并將2014年和2015年發(fā)布的2份小勘誤表納入其中。

 

2. ISO/IEC 27001修訂后會(huì )產(chǎn)生什么影響？

 

需要開(kāi)展過(guò)渡評估，并根據客戶(hù)的范圍、地點(diǎn)數量、系統以及每個(gè)公司的復雜程度為每一位客戶(hù)制定計劃，以確?？刂拼胧?和信息安全管理體系（ISMS）符合最新標準。

 

3. ISO/IEC 27002的修訂對正在實(shí)施信息安全管理體系（ISMS）或即將獲得ISO/IEC 27001認證的公司來(lái)說(shuō)意味著(zhù)什么？

 

無(wú)論公司 正在實(shí)施ISO 27001標準或準備獲得認證，確?？蛻?hù)能 利用修訂版中提供的指南，最大限度地發(fā)揮信息安全管理體系（ISMS）的作用。這一點(diǎn)才是最重要的?？梢?參考ISO 27002:2022，確定并實(shí)施適合公司 的控制項。

 

ISO/IEC 27000已不再是2022版的標準參考文件。相反，《ISO/IEC 27002:2022》第3條中定義的術(shù)語(yǔ)和定義則適用。建議2022版的用戶(hù)參考這些術(shù)語(yǔ)和定義，以方便理解文檔中的控制和指南。

 

廣州確立達建議企業(yè)審查其風(fēng)險評估和必要的控制項，保持企業(yè)在信息安全、云安全和數據安全方面的最佳實(shí)踐，并確保這些實(shí)踐與新的指導意見(jiàn)相一致。這樣一來(lái)，企業(yè)才能更好地克服未來(lái)的風(fēng)險。另外，本次修訂將觸發(fā)對ISO 27001進(jìn)行更新，企業(yè)需要準備好更新相應的證書(shū)。

 

 

 

 

■ END ■

 

 

 

 

免責聲明：本文部分內容根據網(wǎng)絡(luò )信息整理，文章版權歸原作者所有。向原作者致敬！推送旨在積善利他，如涉及作品內容、版權和其它問(wèn)題，請跟我們聯(lián)系刪除并致歉！