ISO(国际标准化组织)和IEC(国际电工委员会)是为国际标准化制定专门体制的国际组织,ISO/IEC27002是一份指导文件,旨在用于实施基于ISO/IEC27001信息安全管理体系(ISMS)时,选择控制项的参考,或作为组织实施普遍接受的信息安全控制项的指南
目前ISO/IEC27002:2013版自2018年起由ISO/IEC JTC 1/SC27修订,新版本已于2022年2月15日正式发布。虽然部分控制项保持不变,但控制项的布局和其他控制项发生了重大变化。由于ISO/IEC27001的附录A需要与ISO/IEC27002保持一致,因此ISO/IEC27001也开始了修订,修订版预计将于2022年第二季度发布。
ISO/IEC27002 2022版相较于2013版发生了哪些变化?小编为您一一解读。
主要变化
控制项数量
ISO/IEC27002:2022版有93个控制项,ISO/IEC27002:2013版有114个控制项。
控制类别
相较2013版114个控制项划分为35个类别, 2022版的93个控制项被划分为4个类别,四个类别的控制布局可以让组织明显意识到高层管理人员需要制定组织的信息安全管理框架和方向,以识别和传达不同信息对业务和组织的重要性和影响,对信息和数据的保护不应该仅仅只是依靠技术手段。技术手段只是预防或减轻信息安全风险的补救措施。
新版本的控制布局可以方便管理人员在组织内分配职责,以加强信息安全管理。
新控制项
引入11个新的控制项来应对技术和工业实践的变化。
合并控制
2022版中有24个控制项是合并2013版中的一些控制项的结果。控制项的合并使控制项的数量减少,使得标准更为精简。
(注意:部分合并控制项摘录如下。读者可参考ISO/IEC27002:2022的附录B,以获取合并控制项的完整列表。)
属性
除了新的控制项之外,2022版还为每个控制项引入了“属性”。每个控制项都与五个具有相应属性值的属性相关联。
ISO/IEC27002:2022的附录A展示了使用这些属性作为创建控制项不同观点的一种方法。
然而,可以肯定的是,使用这些属性并不是强制性的。组织可以选择忽略其中的一个或多个属性,或选择其他属性,例如:成熟度模型。
从“目标”到“目的”
如上所述,2013版有14个域和35个安全控制类别。在2013版中,在每个安全类别下都定义了一个控制目标。每个安全类别包含一个或多个控制项,可用于实现预期的控制目标。
在2022版中,“目标”被“目的”所取代。此外,每个控制项都有一个目的来说明为什么应该实施控制项。
其他变化
标题
2022版的标题被修改为《信息安全、网络安全和隐私保护——信息安全控制》。删除“业务守则”一词,以反映该文件是通用信息安全控制的参考。
术语和定义
ISO/IEC27000已不再是2022版的标准参考文件。相反,《ISO/IEC27002:2022》第3条中定义的术语和定义则适用。建议2022版的用户参考这些术语和定义,以方便理解文档中的控制和指南。
结语
虽然2022版本中对这些变化的解释和理由并没有在JTC1/SC27之外发布,但很明显,这些变化反映了技术的进步和不断发展的行业实践。
正如介绍中提到的,ISO/IEC27001:2013的修订版正在制定中。附录A将被ISO/IEC27002:2022中的控制所取代。SGS将随时关注变化,并在新版ISO/IEC27001发布后,让我们的客户和认证实体及时了解新版转换计划。
SGS在信息与通讯技术(ICT)领域深耕多年,为诸多知名企业提供信息安全、隐私安全管理等技术支持,致力于为各行业机构提供全方位管理提升服务,为企业信创保驾护航,包括:
ISO/IEC20000 信息技术服务管理体系
ISO/IEC27001 信息安全管理体系
ISO/IEC27701 隐私信息管理体系
ISO/IEC29151 个人信息保护的行为准则
CSA STAR 云安全联盟云安全评估认证
TISAX认证
ISO/IEC27017 云服务信息安全规范
ISO/IEC27018 公共云个人信息(PII)处理者的信息安全控制规范
ISO22301 业务连续性管理体系
GDPR/个人信息保护法相关培训
TISAX标准解读培训课程
TISAX内审员培训课程
法规培训
差距分析
定制化服务
