ISO/IEC 27002:2022標(biāo)準(zhǔn)《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)—信息安全控制》于2月15日完成修訂并正式出版。本標(biāo)準(zhǔn)為ISO/IEC 27001標(biāo)準(zhǔn)附錄A中提及的信息安全控制以及控制的目標(biāo)和實(shí)施提供指導(dǎo)，以解決各組織機(jī)構(gòu)的信息安全風(fēng)險(xiǎn)。

隨著新版ISO/IEC 27002的修訂發(fā)布，ISO 27001的改版動向也備受關(guān)注，本次修訂將觸發(fā)對ISO/IEC 27001進(jìn)行部分更新及修訂，確保其附錄A與ISO/IEC 27002:2022標(biāo)準(zhǔn)保持一致。關(guān)于ISO/IEC 27001過渡計(jì)劃的詳細(xì)信息預(yù)計(jì)將于2022年下半年發(fā)布。

相比2013版，新版ISO/IEC 27002:2022做了哪些關(guān)鍵的變化？

標(biāo)準(zhǔn)名稱&結(jié)構(gòu)調(diào)整

標(biāo)準(zhǔn)不再被稱為“控制實(shí)踐指南”，標(biāo)準(zhǔn)的新標(biāo)題為“信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)-信息安全控制”。

標(biāo)準(zhǔn)結(jié)構(gòu)發(fā)生了變化：全文共有8個章節(jié)和2個附錄。

控制項(xiàng)數(shù)量

新版本中列舉的控制項(xiàng)數(shù)量從114個減少到93個，新增了11個控制項(xiàng)，合并了部分控制項(xiàng)，并刪除了部分控制項(xiàng)。

控制域和控制重新劃分

新版標(biāo)準(zhǔn)中的93個控制被重新劃分為 4 個域，且與5個屬性相關(guān)聯(lián)。
組織控制 37

人員控制 8

物理控制 14

技術(shù)控制 34

增加了屬性描述

新版標(biāo)準(zhǔn)對每項(xiàng)控制增加了一項(xiàng)屬性描述，提供了一種標(biāo)準(zhǔn)化的方式對不同視角的控制進(jìn)行排序和篩選，以滿足不同組織的需求。

標(biāo)準(zhǔn)內(nèi)容更加全面性

其描述了全球范圍內(nèi)與越來越多地使用云端服務(wù)的信息安全風(fēng)險(xiǎn)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)等有關(guān)的變化，并納入了與威脅情報(bào)、數(shù)據(jù)泄漏防護(hù)、使用云端服務(wù)的信息安全、全球安全監(jiān)控和數(shù)據(jù)屏蔽等有關(guān)的主題。

新版ISO/IEC 27002:2022增加了網(wǎng)絡(luò)安全和隱私保護(hù)方面的內(nèi)容，為組織的合規(guī)性運(yùn)營提供了新的保障點(diǎn)，適用于任何有信息安全、并期望通過信息安全控制以實(shí)現(xiàn)最佳實(shí)踐的組織。企業(yè)應(yīng)在原有控制措施基礎(chǔ)上，重點(diǎn)加強(qiáng)對隱私和網(wǎng)絡(luò)安全的關(guān)注。

相關(guān)文章：

隱私信息管理體系ISO/IEC 27701標(biāo)準(zhǔn)解析 ISO發(fā)布最新國際標(biāo)準(zhǔn) ISO/IEC 27701 個人信息安全管理體系 ISO27001信息安全管理體系標(biāo)準(zhǔn)總則 ISO組織發(fā)布ISO27701隱私信息管理要求和指南