動(dòng)態(tài)資訊
聯(lián)系我們
確立達(dá)顧問集團(tuán)
(廣州.深圳.惠州)
咨詢熱線:
黃先生 135 5482 3909
郵箱:info@qualtekgz.com
廣州公司:廣州市黃埔區(qū)盛凱大街3號(hào)1825房
深圳公司:深圳市龍崗區(qū)園山街道星河智薈A2區(qū)E座中興智匯大廈513
惠州公司:惠州市惠城區(qū)帝景文化名都大廈B棟1001室
新版 信息安全標(biāo)準(zhǔn)ISO/IEC 27002-2022 發(fā)布,安全控制措施正式修訂為4大類93項(xiàng)
ISO(國際標(biāo)準(zhǔn)化組織)和IEC(國際電工委員會(huì))是為國際標(biāo)準(zhǔn)化制定專門體制的國際組織,ISO/IEC 27002是一份指導(dǎo)文件,旨在用于實(shí)施基于ISO/IEC 27001信息安全管理體系(ISMS)時(shí),選擇控制項(xiàng)的參考,或作為組織實(shí)施普遍接受的信息安全控制項(xiàng)的指南。
目前ISO/IEC 27002:2013版自2018年起由ISO/IEC JTC 1/SC27修訂,新版本已于2022年2月15日正式發(fā)布。ISO/IEC 27002信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)-信息安全控制為組織信息安全標(biāo)準(zhǔn)提供指導(dǎo),并為信息安全管理提供最佳實(shí)踐。它考慮了一個(gè)企業(yè)獨(dú)特的信息安全風(fēng)險(xiǎn)環(huán)境,通過關(guān)注組織的選擇、實(shí)施和管理的安全控制。適用于任何有信息安全及期望通用信息安全控制實(shí)現(xiàn)最佳實(shí)踐的組織。
ISO/IEC 27002:2022是全面修訂嗎?
是的,ISO/IEC 27002:2022是對(duì)標(biāo)準(zhǔn)的全面修訂。ISO/IEC 27002:2022出版后,2013版將廢止。
修訂后的ISO/IEC 27002:2022有哪些調(diào)整?
修訂后的ISO/IEC 27002:2022標(biāo)準(zhǔn)調(diào)整了現(xiàn)有控制項(xiàng)的結(jié)構(gòu),將列舉的安全控制項(xiàng)從114個(gè)減少至93個(gè),并刪除了一些未能反映最佳實(shí)踐的控制項(xiàng)。
在ISO/IEC 27002標(biāo)準(zhǔn)的最新版本中,新增了11個(gè)控制項(xiàng),包括威脅情報(bào)、使用云端服務(wù)的信息安全以及數(shù)據(jù)泄露防護(hù)等。這樣一來,不管網(wǎng)絡(luò)攻擊的性質(zhì)如何變化,企業(yè)都能夠持續(xù)控制其信息安全。
ISO/IEC 27002新增了哪些內(nèi)容?
01)ISO/IEC 27002已通過審查,方便企業(yè)采用該標(biāo)準(zhǔn)。此外,ISO/IEC 27002仍舊秉持其原有目標(biāo),確保不遺漏任何一個(gè)重要的控制項(xiàng)。將控制劃分為四大類別,分別為:技術(shù)控制、組織控制、人員控制和實(shí)體控制。02)定義了其他控制屬性,例如:控制類型屬性:偵測(cè)、預(yù)防或矯正;網(wǎng)絡(luò)安全屬性:基于NIST網(wǎng)絡(luò)安全框架的識(shí)別、保護(hù)、偵測(cè)、響應(yīng)和恢復(fù)功能;信息安全屬性:機(jī)密性、完整性和可用性等。03)可以針對(duì)不同的受眾,從不同的角度按屬性對(duì)控制項(xiàng)進(jìn)行過濾、排序和呈現(xiàn)。
對(duì)ISO/IEC 27001:2013的影響
1. 2022年,是否會(huì)因ISO/IEC 27002的修訂而對(duì)ISO/IEC 27001作出變更?
將對(duì)ISO/IEC 27001進(jìn)行部分修訂,以更新ISO/IEC 27002:2022(修訂版)附件A中的控制項(xiàng),并將2014年和2015年發(fā)布的2份小勘誤表納入其中。
2. ISO/IEC 27001修訂后會(huì)產(chǎn)生什么影響?
需要開展過渡評(píng)估,并根據(jù)客戶的范圍、地點(diǎn)數(shù)量、系統(tǒng)以及每個(gè)公司的復(fù)雜程度為每一位客戶制定計(jì)劃,以確保控制措施 和信息安全管理體系(ISMS)符合最新標(biāo)準(zhǔn)。
3. ISO/IEC 27002的修訂對(duì)正在實(shí)施信息安全管理體系(ISMS)或即將獲得ISO/IEC 27001認(rèn)證的公司來說意味著什么?
無論公司 正在實(shí)施ISO 27001標(biāo)準(zhǔn)或準(zhǔn)備獲得認(rèn)證,確保客戶能 利用修訂版中提供的指南,最大限度地發(fā)揮信息安全管理體系(ISMS)的作用。這一點(diǎn)才是最重要的。可以 參考ISO 27002:2022,確定并實(shí)施適合公司 的控制項(xiàng)。
ISO/IEC 27000已不再是2022版的標(biāo)準(zhǔn)參考文件。相反,《ISO/IEC 27002:2022》第3條中定義的術(shù)語和定義則適用。建議2022版的用戶參考這些術(shù)語和定義,以方便理解文檔中的控制和指南。
廣州確立達(dá)建議企業(yè)審查其風(fēng)險(xiǎn)評(píng)估和必要的控制項(xiàng),保持企業(yè)在信息安全、云安全和數(shù)據(jù)安全方面的最佳實(shí)踐,并確保這些實(shí)踐與新的指導(dǎo)意見相一致。這樣一來,企業(yè)才能更好地克服未來的風(fēng)險(xiǎn)。另外,本次修訂將觸發(fā)對(duì)ISO 27001進(jìn)行更新,企業(yè)需要準(zhǔn)備好更新相應(yīng)的證書。
■ END ■
免責(zé)聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!推送旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)跟我們聯(lián)系刪除并致歉!
