ISO27001-2022及ISO27002-2022标准的主要变化.docxVIP

IS027001-2022及IS027002-2022标准的主要变化

修订后的ISO/IEC27002:2022有哪些调整？

修订后的ISO/IEC27002:2022标准调整了现有控制项的结构，将列举的安全控制项从114个减少至93个，并删除了一些未能反映最佳实践的控制项。

ISO/IEC27002:2022

ISO/IEC27002:2013

5、信息安全策略

6、信息安全组织

7、人力资源安全

8、资产管理

9、访问控制

10、密码

11、物理和环境安全

12、运行安全

13、通信安全

14、系统获取、开发和维护

15、供应商关系

16、信息安全事件管理

17、业务i车续性管理的信息安全方面

18、符合性

在TS0/IEC27002标准的最新版本中，新增了11个控制项,包括威胁情报、使用云端服务的信息安全以及数据泄露防护等。这样一来，不管网络攻击的性质如何变化，企业都能够持续控制

其信息安全。

5.7

安全威胁情报

对不断变化的威胁环境，组织应保持警惕及清醒的认识.威胁情报的层级包括：战略层面、战术层面和运营层面.例如：从特殊利益相关方（控制项5.6与特殊利益相关方联系）、从信息安全事件（控制项5.27从信息安全事件中学习）或安全运营中心（SOC）f获得有关战术和运营层面的威胁情报信息。

与此同时，组织还应该定期检查本行业以及相关行业不断变化的威胁形势。

5.23

使用云服务的信息安全

过去十年以来越来越多的组织开始使用云服务，作为组织控制中一个新的控制项，正确运用这种控制项需要云技术的相关知识，因此组织在采用此类控制时应考虑让云专家参与.

530

信息技术为业务连续性做好准备

这个新控制项的目的不同于控制项5.29中断期间的信息安全.它旨在确保组织信息和其他相关资产在中断期间的可用性.IT部门制定的灾难恢复计划（DRP）可以作为这种控制项的实施示例，前提是该计划满足组织的业务连续性需求.

控制项5.29（信息安全的中断期间）旨在维护中断期间信息的俣密性、完整性、可用性，例如：由干电源中断，物理访问控制暂时不可用.

物理安全监控

作为ISO/IEC27002:2022附录B一个新的控制项，许多组织实际上早已在其物理场所采取了这类技术手段，例如：安装监控系统、入侵检测系统或门禁控制系统等。

8.9

配置管理

配置管理是对硬件、软件、服务（例如：云服务）和网络在其整个生命周期中进行定期管理的过程。系统加固是该控制的一个实施示例。

应维护配置，以确保其有效。遵循变更管理流程8.32（变更管理），以受控制的方式进行变更，同时，变更的记录应被安全保存。

8.10

信息删除

这三个控制项的添加与2022版（信息安全、网络安全和隐私保护-信息安全控制）的标题相呼应.这些控制方式通常在当前的数据隐私法和国际标准如GDPR,ISO/IEC27701,以保护数据主体的权利中被采用。

8.11

数据脱敏

8.12

数据防泄露

8.16

行为监控

这个新的控制项旨在监控网络、系统和应用程序的异常行为和潜在的信息安全事件.

各组织采用了各种监控手段来监控其IT环境，例如：通过安装防病毒软件，防火堵或带日志的网页过滤器等。

8.23

网页过滤

这个新的控制项相对简单。许多组织已经在其IT网络中采用它。尽管，过滤掉的外部网站越多，被恶意内容渗透的机会越小，但是，组织应该在信息安全风险与业务需求之间做出平衡.

8.28

安全开发

这个新的控制项旨在减少新开发或增强开发的软件时潜在的信息安全脆弱性的数量。在2013版中，这个控制项被省略了。

ISO/IEC27002新增了哪些内容？

01）ISO/IEC27002已通过审查，方便企业采用该标准。此外，ISO/IEC27002仍旧秉持其原有目标，确保不遗漏任何一个重要的控制项。将控制划分为四大类别，分别为：技术控制、组织控制、人员控制和实体控制。

02）定义了其他控制属性，例如：控制类型属性：侦测、预防或矫正；网络安全属性：基于NIST网络安全框架的识别、保护、侦测、响应和恢复功能；信息安全属性：机密性、完整性和可用性等。

03）可以针对不同的受众，从不同的角度按属性对控制项进行过滤、排序和呈现。

对ISO/IEC27001:2013的影响

L2022年，是否会因IS0∕IEC27002的修订而对IS0/IEC27001

作出变更？

将对IS0/IEC27001进行部分修订，以更新IS0/IEC27002:2022(修订版)附件A中的控制项，并将2014年和2015年发布的2

份小勘误表纳入其中。

IS0/IEC27001修订后会产生什么影响？

需要开展过渡评估，并根据客户的范围、地