ISO/IEC 27002:2022標(biāo)準(zhǔn)《信息安全、網(wǎng)絡(luò)安全和隱私保護—信息安全控制》于2月15日完成修訂并正式出版。本標(biāo)準(zhǔn)為ISO/IEC 27001標(biāo)準(zhǔn)附錄A中提及的信息安全控制以及控制的目標(biāo)和實施提供指導(dǎo)，以解決各組織機構(gòu)的信息安全風(fēng)險。

隨著新版ISO/IEC 27002的修訂發(fā)布，ISO 27001的改版動向也備受關(guān)注，本次修訂將觸發(fā)對ISO/IEC 27001進行部分更新及修訂，確保其附錄A與ISO/IEC 27002:2022標(biāo)準(zhǔn)保持一致。關(guān)于ISO/IEC 27001過渡計劃的詳細(xì)信息預(yù)計將于2022年下半年發(fā)布。

相比2013版，新版ISO/IEC 27002:2022做了哪些關(guān)鍵的變化？

標(biāo)準(zhǔn)名稱&結(jié)構(gòu)調(diào)整

標(biāo)準(zhǔn)不再被稱為“控制實踐指南”，標(biāo)準(zhǔn)的新標(biāo)題為“信息安全、網(wǎng)絡(luò)安全和隱私保護-信息安全控制”。

標(biāo)準(zhǔn)結(jié)構(gòu)發(fā)生了變化：全文共有8個章節(jié)和2個附錄。

控制項數(shù)量

新版本中列舉的控制項數(shù)量從114個減少到93個，新增了11個控制項，合并了部分控制項，并刪除了部分控制項。

控制域和控制重新劃分

新版標(biāo)準(zhǔn)中的93個控制被重新劃分為 4 個域，且與5個屬性相關(guān)聯(lián)。
組織控制 37

人員控制 8

物理控制 14

技術(shù)控制 34

增加了屬性描述

新版標(biāo)準(zhǔn)對每項控制增加了一項屬性描述，提供了一種標(biāo)準(zhǔn)化的方式對不同視角的控制進行排序和篩選，以滿足不同組織的需求。

標(biāo)準(zhǔn)內(nèi)容更加全面性

其描述了全球范圍內(nèi)與越來越多地使用云端服務(wù)的信息安全風(fēng)險、網(wǎng)絡(luò)安全風(fēng)險等有關(guān)的變化，并納入了與威脅情報、數(shù)據(jù)泄漏防護、使用云端服務(wù)的信息安全、全球安全監(jiān)控和數(shù)據(jù)屏蔽等有關(guān)的主題。

新版ISO/IEC 27002:2022增加了網(wǎng)絡(luò)安全和隱私保護方面的內(nèi)容，為組織的合規(guī)性運營提供了新的保障點，適用于任何有信息安全、并期望通過信息安全控制以實現(xiàn)最佳實踐的組織。企業(yè)應(yīng)在原有控制措施基礎(chǔ)上，重點加強對隱私和網(wǎng)絡(luò)安全的關(guān)注。

相關(guān)文章：

隱私信息管理體系ISO/IEC 27701標(biāo)準(zhǔn)解析 ISO發(fā)布最新國際標(biāo)準(zhǔn) ISO/IEC 27701 個人信息安全管理體系 ISO27001信息安全管理體系標(biāo)準(zhǔn)總則 ISO組織發(fā)布ISO27701隱私信息管理要求和指南