当前位置:首页 -> 业务动态
信息安全管理体系标准ISO/IEC 27002:2022发布 |
时间:2022-12-29 作者:中国网络安全审查技术与认证中心 |
2022年2月,国际标准化组织(ISO)更新发布了ISO/IEC 27002《Information security, cybersecurity and privacy protection — Information security controls》(信息安全、网络安全和隐私保护 信息安全控制),可为组织制定和实施信息安全控制措施提供指南。它考虑了一个组织独特的信息安全风险环境,通过选择、实施和管理信息安全控制,为组织信息安全管理指明了方向。该标准适用于任何有信息安全及期望通用信息安全控制实现最佳实践的组织。该标准代替了ISO/IEC 27002:2013。 新版本与2013版本发生了较大的变化,主要是在标题中删除了“最佳实践”,标准名称改为“信息安全、网络安全及隐私保护-信息安全控制”;总体框架变为比较简单的分类;增加了控制措施的相关属性;一些控制措施被合并,一些被删除。具体见下: 1、重构整体总体框架 修订后的2022版对框架结构进行了重新构建,合并了2013版的14个变为4个主题,控制项数量从2013版的114个减少到93个。 2、新增控制措施属性 修订后的2022版对控制措施增加了5个属性,分别为控制类型、信息安全属性、网络概念、运营能力和安全域5个属性。 3、新增11个安全控制项 增加的控制项主要集中在组织控制主题和技术控制主题,组织控制主题中增加了云、威胁情报、以及业务连续性的控制点,而技术控制主题主要是增加了关于数据安全等控制点。 2022版本相对于2013增加了11个安全控制项,增加的控制项主要集中在组织控制主题和技术控制主题,组织控制主题中增加了云、威胁情报、以及业务连续性的控制点,而技术控制主题主要是增加了关于数据安全等控制点。 新版标准能够帮助组织在最新的信息技术与网络环境下更好地选择信息安全管理控制措施,并且保证组织实施信息安全控制的实时性、先进性、可用性和实用性。但同时,标准的更新对组织的安全技术及安全控制提出了更高的要求。 |