ISO_IEC 27002_2022中文版完整详细.docx

ISO/IEC 27002:2022 信息安全，网络安全与隐私保护 ——信息安全控制 日期 更新日志 2022 年 3 月 18 日 v0.1 2022 年 4 月 30 日 v0.2，修正少量文字错误和前后不一的用词； 2022 年 5 月 09 日 v0.3，修正少量排版错误，修正部分措辞； 说明 2022 年 2 月，国际标准化组织发布更新发布了信息安全、网络安全和隐私保护— —信息安全控制（ISO/IEC 27002:2022），以作为组织根据信息安全管理体系认证标准定制和实施信息安全控制措施的指南。 新标准的更新变化为新环境下的网络安全、数据安全治理和管理提供了先进的思路和参考框架，为尽快将新标纳入我司数据安全治理咨询服务知识库，安全咨询事业部组织专家力量进行了翻译整理。 本文件主要翻译人员为安全咨询事业部高级安全顾问汤季洪(CISSP /CISP /CCSP / CCSI /CEH /RHCA /RHCE /MCSE /MCDBA /VCP)，并得到了盘茜(CISSP /CISP)女士 的大力支持。 由于译者水平有限，错误或不当之处在所难免，请参照英文原版以准，并请拨冗批评指正。可联系汤季洪微信)或 \h tangjihong@。 闪捷信息科技有限公司?安全咨询事业部 2022 年 3 月 18 日 序 ISO（国际标准化组织）和 IEC（国际电工委员会）构成了全球标准化的专门体 系。作为 ISO 或 IEC 成员的国家机构通过各自组织建立的技术委员会参与国际标准的制定，以处理特定领域的技术活动。ISO 和 IEC 技术委员会在共同感兴趣的领域进行合作。与 ISO 和 IEC 保持联系的其他政府和非政府国际组织也参与此项工作。 ISO/IEC 指令第 1 部分描述了用于编制本文件的程序以及旨在进一步维护本文件的程序。特别是，应注意不同类型的文件需要不同的审批标准。本文件根据 ISO/IEC 指令第 2 部分的编辑规则起草（参见 \h /directives 或 \h www.iec.ch/members_expe rts/refdocs ）。 请注意，本文件中的某些内容可能是专利权的主题。ISO 和 IEC 不负责识别任何或所有此类专利权。在文档开发过程中确定的任何专利权的详细信息将在引言和/或收到的 ISO 专利声明列表中列出（参见 \h /patents）或收到的 IEC 专利声明列表 （参见 patents.iec.ch）。 本文件中使用的任何商品名称都是为了方便用户而提供的信息，并不构成认可。有关标准的自愿性质的解释、与合格评定相关的 ISO 特定术语和表述的含义，以 及有关 ISO 遵守《技术性贸易壁垒（TBT）中遵守世界贸易组织（WTO）原则》的信息，请参见 \h /iso/foreword.html。IEC 的有关信息请参见 \h www.iec.ch/unders tanding-standards。 本文件由 ISO/IEC JTC 1 联合技术委员会信息技术分委员会 SC 27 信息安全、网络安全和隐私保护编写。 第三版取消并取代了第二版（ISO/IEC 27002：2013），包含第二版的技术修订 IS O/IEC 27002:2013/Cor.1:2014 和 ISO/IEC 27002:2013/Cor.2:2015。 主要变化如下： 修改了标题； 改变了文档的结构，使用简单的分类法和相关属性来呈现控制； 一些控制被合并，一些被删除，一些新的控制被引入。 完整的对照见附件 B。 关于本文件的任何反馈或问题应提交给使用者所在国家或地区的标准机构。这些机构的完整清单可在以下网址找到： \h /members.html \h www.iec.ch/national-committees 介绍 背景和语境 本文件适用于各种类型和规模的组织。它将用作在基于 ISO/IEC 27001 的信息安全管理体系（ISMS）中确定和实施信息安全风险处理控制的参考。它还可以用作组织确定和实施普遍接受的信息安全控制措施的指导文档。此外，考虑到特定的信息安全风险环境，本文件旨在用于制定行业和组织特定的信息安全管理准则。本文件中未包括的组织或环境特定的控制措施可根据需要通过风险评估来确定。 各种类型和规模的组织（包括公共和私营部门、商业和非营利组织）以多种形式创建、收集、处理、存储、传输和处置信息，包括电子、物理和口头形式（例如对话和演示）。 信息的价值超越了文字、数字和图像：知识、概念、想法和品牌都是信息的无形形式。在一个相互关联的世界中，信息和其他相关资产值得或需要针对各种风险源进行保护，无论这些风险源是自然的、意外的还是蓄意的。 信息安全是通过实施一套