【转】新版ISO/IEC 27002:2022关键变化解读
ISO/IEC 27002:2022标准《信息安全、网络安全和隐私保护—信息安全控制》于2月15日完成修订并正式出版。本标准为ISO/IEC 27001标准附录A中提及的信息安全控制以及控制的目标和实施提供指导,以解决各组织机构的信息安全风险。
随着新版ISO/IEC 27002的修订发布,ISO 27001的改版动向也备受关注,本次修订将触发对ISO/IEC 27001进行部分更新及修订,确保其附录A与ISO/IEC 27002:2022标准保持一致。关于ISO/IEC 27001过渡计划的详细信息预计将于2022年下半年发布。
相比2013版,新版ISO/IEC 27002:2022做了哪些关键的变化?
标准名称&结构调整
标准不再被称为“控制实践指南”,标准的新标题为“信息安全、网络安全和隐私保护-信息安全控制”。
标准结构发生了变化:全文共有8个章节和2个附录。
控制项数量
新版本中列举的控制项数量从114个减少到93个,新增了11个控制项,合并了部分控制项,并删除了部分控制项。
控制域和控制重新划分
新版标准中的93个控制被重新划分为 4 个域,且与5个属性相关联。
组织控制 37
人员控制 8
物理控制 14
技术控制 34
增加了属性描述
|
|
|
|
|
|
|
|
|
|
|
|
新版标准对每项控制增加了一项属性描述,提供了一种标准化的方式对不同视角的控制进行排序和筛选,以满足不同组织的需求。
标准内容更加全面性
其描述了全球范围内与越来越多地使用云端服务的信息安全风险、网络安全风险等有关的变化,并纳入了与威胁情报、数据泄漏防护、使用云端服务的信息安全、全球安全监控和数据屏蔽等有关的主题。
新版ISO/IEC 27002:2022增加了网络安全和隐私保护方面的内容,为组织的合规性运营提供了新的保障点,适用于任何有信息安全、并期望通过信息安全控制以实现最佳实践的组织。企业应在原有控制措施基础上,重点加强对隐私和网络安全的关注。