新版ISOIEC 270022022标准发布及关键变化点解读.docVIP

ISO/IEC 27002:2022 《Information security, cybersecurity and privacy protection — Information security controls》《信息安全、网络安全和隐私保护—信息安全控制》于2月15日完成修订并正式出版。本 \t /_blank 标准为ISO/IEC 27001标准附录A中提及的信息安全控制以及控制的目标和实施提供指导，以解决各组织机构的信息安全 \t /_blank 风险。随着新版ISO/IEC 27002的修订发布，ISO 27001的改版动向也备受关注，本次修订将触发对ISO/IEC 27001进行部分更新及修订，确保其附录A与ISO/IEC 27002:2022标准保持一致。关于ISO/IEC 27001过渡计划的详细信息预计将于2022年下半年发布。相比2013版ISO/IEC 27002标准，新版ISO/IEC 27002:2022做了哪些关键的变化？标准名称结构调整标准不再被称为“控制实践指南”，标准的新标题为“信息安全、网络安全和隐私保护-信息安全控制”。标准结构发生了变化：全文共有8个章节和2个附录。控制项数量新版本中列举的控制项数量从114个减少到93个，新增了11个控制项，合并了部分控制项，并删除了部分控制项。控制域和控制重新划分新版标准中的93个控制被重新划分为 4 个域，且与5个属性相关联。 组织控制 37 人员控制 8 物理控制 14 技术控制 34 增加了属性描述新版标准对每项控制增加了一项属性描述，提供了一种标准化的方式对不同视角的控制进行排序和筛选，以满足不同组织的需求。 属性 属性值 控制类型 \t /_blank 预防性、检测性和纠正性 信息安全属性 机密性、完整性和可用性 网络安全概念 识别、保护、检测、响应和恢复 运营能力 治理、资产管理、信息保护、人力资源安全、物理安全、系统和网络安全、应用程序安全、安全配置、身份和访问管理、威胁和漏洞管理、连续性、供应商关系安全、法律和合规性，信息安全事件管理和信息安全保障 安全领域 治理和生态系统、保护、防御和恢复能力 标准内容更加全面性其描述了全球范围内与越来越多地使用云端服务的信息安全风险、网络安全风险等有关的变化，并纳入了与威胁情报、数据泄漏防护、使用云端服务的信息安全、全球安全监控和数据屏蔽等有关的主题。新版ISO/IEC 27002:2022增加了网络安全和隐私保护方面的内容，为组织的合规性运营提供了新的保障点，适用于任何有信息安全、并期望通过信息安全控制以实现最佳实践的组织。企业应在原有控制措施基础上，重点加强对隐私和网络安全的关注。这些变化反映了全球各组织对数字化世界中出现的新风险的关注，从而促进了组织在数字化转型计划的延续和/或采用新的网络安全战略。保持最新的ISMS，您的组织才能够应对日益变化和更加复杂的安全风险，提高组织的实力，确保组织在业务上的连续性，为组织的各项业务流程升值并获得竞争优势。