隨著新版ISO/IEC 27002的修訂發(fā)布，ISO 27001的改版動(dòng)向也備受關(guān)注，本次修訂將觸發(fā)對(duì)ISO/IEC 27001進(jìn)行部分更新及修訂，確保其附錄A與ISO/IEC 27002:2022標(biāo)準(zhǔn)保持一致。關(guān)于ISO/IEC 27001過渡計(jì)劃的詳細(xì)信息預(yù)計(jì)將于2022年下半年發(fā)布。

相比2013版，新版ISO/IEC 27002:2022做了哪些關(guān)鍵的變化？

標(biāo)準(zhǔn)名稱&結(jié)構(gòu)調(diào)整

標(biāo)準(zhǔn)不再被稱為“控制實(shí)踐指南”，標(biāo)準(zhǔn)的新標(biāo)題為“信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)-信息安全控制”。

標(biāo)準(zhǔn)結(jié)構(gòu)發(fā)生了變化：全文共有8個(gè)章節(jié)和2個(gè)附錄。

控制項(xiàng)數(shù)量

新版本中列舉的控制項(xiàng)數(shù)量從114個(gè)減少到93個(gè)，新增了11個(gè)控制項(xiàng)，合并了部分控制項(xiàng)，并刪除了部分控制項(xiàng)。

控制域和控制重新劃分

新版標(biāo)準(zhǔn)中的93個(gè)控制被重新劃分為 4 個(gè)域，且與5個(gè)屬性相關(guān)聯(lián)。
組織控制 37

人員控制 8

物理控制 14

技術(shù)控制 34

增加了屬性描述

新版標(biāo)準(zhǔn)對(duì)每項(xiàng)控制增加了一項(xiàng)屬性描述，提供了一種標(biāo)準(zhǔn)化的方式對(duì)不同視角的控制進(jìn)行排序和篩選，以滿足不同組織的需求。

標(biāo)準(zhǔn)內(nèi)容更加全面性

其描述了全球范圍內(nèi)與越來越多地使用云端服務(wù)的信息安全風(fēng)險(xiǎn)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)等有關(guān)的變化，并納入了與威脅情報(bào)、數(shù)據(jù)泄漏防護(hù)、使用云端服務(wù)的信息安全、全球安全監(jiān)控和數(shù)據(jù)屏蔽等有關(guān)的主題。

新版ISO/IEC 27002:2022增加了網(wǎng)絡(luò)安全和隱私保護(hù)方面的內(nèi)容，為組織的合規(guī)性運(yùn)營(yíng)提供了新的保障點(diǎn)，適用于任何有信息安全、并期望通過信息安全控制以實(shí)現(xiàn)最佳實(shí)踐的組織。企業(yè)應(yīng)在原有控制措施基礎(chǔ)上，重點(diǎn)加強(qiáng)對(duì)隱私和網(wǎng)絡(luò)安全的關(guān)注。

The post 【轉(zhuǎn)】新版ISO/IEC 27002:2022關(guān)鍵變化解讀 first appeared on 深圳市安信達(dá)咨詢有限公司.

開發(fā)信息安全管理的國(guó)際標(biāo)準(zhǔn)ISO 27002的原因最初在BSI的網(wǎng)站上的描述如下：
許多組織都表示需要有一個(gè)共同的關(guān)于信息安全管理最佳實(shí)踐的標(biāo)準(zhǔn)，他們希望能夠部署信息安全控制措施，以滿足他們自己的業(yè)務(wù)需求以及與他們有業(yè)務(wù)關(guān)系的其它機(jī)構(gòu)。這些組織認(rèn)為有必要分享通用最佳實(shí)踐的好處，并以此作為一個(gè)真正的國(guó)際水平，以確保它們能夠保護(hù)他們的業(yè)務(wù)流程和活動(dòng)，以滿足業(yè)務(wù)的需要。

它并沒有提供一個(gè)用于獲得國(guó)際認(rèn)證的基本方案。認(rèn)證方案只有BS7799的第二部分和現(xiàn)在的ISO 27001可以做到。

兩個(gè)標(biāo)準(zhǔn)之間的對(duì)應(yīng)關(guān)系
ISO27001:2005的附件A中列出了ISO17799:2005也就是新編號(hào)ISO27002中的133個(gè)控件，并且遵循相同的編號(hào)系統(tǒng)，和使用同樣的關(guān)于控制措施的語(yǔ)言用詞。
ISO27001的前言中指出：控制目標(biāo)和控制措施直接來自ISO17799:2005，并且和它保持一致。
ISO27001規(guī)定：應(yīng)該從附件A中選擇控制目標(biāo)和控制措施，以滿足“風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過程中確定的控管要求”。
ISO27002還提供了有關(guān)如何實(shí)現(xiàn)特定的控制措施的實(shí)質(zhì)性指導(dǎo)。任何一個(gè)ISO27001 ISMS的實(shí)施都將需要獲取和研究ISO27001和ISO27002兩份標(biāo)準(zhǔn)。
盡管ISO27001強(qiáng)制指定ISO27002作為一個(gè)控制措施選擇和部署的指導(dǎo)來源，它并不限制該組織對(duì)控制措施的選擇。序言接著指出：“ISO標(biāo)準(zhǔn)中的控制目標(biāo)和控制措施可能并不是很詳盡，組織可能需要考慮和采取更多的控制目標(biāo)和控制措施?！?/p>

The post ISO27001與27002的關(guān)系 first appeared on 深圳市安信達(dá)咨詢有限公司.