AS9100认证咨询

【转】新版ISO/IEC 27002:2022关键变化解读

ISO/IEC 27002:2022标准《信息安全、网络安全和隐私保护—信息安全控制》于2月15日完成修订并正式出版。本标准为ISO/IEC 27001标准附录A中提及的信息安全控制以及控制的目标和实施提供指导,以解决各组织机构的信息安全风险。

随着新版ISO/IEC 27002的修订发布,ISO 27001的改版动向也备受关注,本次修订将触发对ISO/IEC 27001进行部分更新及修订,确保其附录A与ISO/IEC 27002:2022标准保持一致。关于ISO/IEC 27001过渡计划的详细信息预计将于2022年下半年发布。

相比2013版,新版ISO/IEC 27002:2022做了哪些关键的变化?

标准名称&结构调整

标准不再被称为“控制实践指南”,标准的新标题为“信息安全、网络安全和隐私保护-信息安全控制”。

标准结构发生了变化:全文共有8个章节和2个附录。

控制项数量

新版本中列举的控制项数量从114个减少到93个,新增了11个控制项,合并了部分控制项,并删除了部分控制项。

控制域和控制重新划分

新版标准中的93个控制被重新划分为 4 个域,且与5个属性相关联。
组织控制 37

人员控制 8

物理控制 14

技术控制 34

增加了属性描述

属性
属性值
控制类型
预防性、检测性和纠正性
信息安全属性
机密性、完整性和可用性
 网络安全概念
识别、保护、检测、响应和恢复
 运营能力
治理、资产管理、信息保护、人力资源安全、物理安全、系统和网络安全、应用程序安全、安全配置、身份和访问管理、威胁和漏洞管理、连续性、供应商关系安全、法律和合规性,信息安全事件管理和信息安全保障
安全领域
治理和生态系统、保护、防御和恢复能力

新版标准对每项控制增加了一项属性描述,提供了一种标准化的方式对不同视角的控制进行排序和筛选,以满足不同组织的需求。

标准内容更加全面性

其描述了全球范围内与越来越多地使用云端服务的信息安全风险、网络安全风险等有关的变化,并纳入了与威胁情报、数据泄漏防护、使用云端服务的信息安全、全球安全监控和数据屏蔽等有关的主题。

新版ISO/IEC 27002:2022增加了网络安全和隐私保护方面的内容,为组织的合规性运营提供了新的保障点,适用于任何有信息安全、并期望通过信息安全控制以实现最佳实践的组织。企业应在原有控制措施基础上,重点加强对隐私和网络安全的关注。