北京2022年3月2日 /美通社/ -- ISO/IEC 27002:2022已經(jīng)完成修訂并正式發(fā)布����。ISO/IEC 27002信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)-信息安全控制為組織信息安全標(biāo)準(zhǔn)提供指導(dǎo)��,并為信息安全管理提供最佳實(shí)踐�。它考慮了一個(gè)企業(yè)獨(dú)特的信息安全風(fēng)險(xiǎn)環(huán)境,通過(guò)關(guān)注組織的選擇��、實(shí)施和管理的安全控制�。適用于任何有信息安全及期望通用信息安全控制實(shí)現(xiàn)最佳實(shí)踐的組織。
國(guó)際領(lǐng)先標(biāo)準(zhǔn)���、測(cè)試及認(rèn)證機(jī)構(gòu)BSI建議企業(yè)審查其風(fēng)險(xiǎn)評(píng)估和必要的控制項(xiàng)�,保持企業(yè)在信息安全、云安全和數(shù)據(jù)安全方面的最佳實(shí)踐��,并確保這些實(shí)踐與新的指導(dǎo)意見相一致�。這樣一來(lái),企業(yè)才能更好地克服未來(lái)的風(fēng)險(xiǎn)����。另外,本次修訂將觸發(fā)對(duì)ISO 27001進(jìn)行更新��,企業(yè)需要準(zhǔn)備好更新相應(yīng)的證書�。
ISO/IEC 27002:2022將如何幫助企業(yè)?
- 在建立信息安全管理體系(ISMS)的過(guò)程中���,確定合適且相稱的安全控制�����;
- 落實(shí)信息安全管理的最佳實(shí)踐����;
- 滿足與信息安全相關(guān)的法律�����、法規(guī)、監(jiān)管和合同要求�;
- 加強(qiáng)風(fēng)險(xiǎn)管理,降低出現(xiàn)信息安全漏洞的可能性�����;
- 提高公司ISMS的可信度����;
- 提高信息安全管理體系(ISMS)的整體穩(wěn)健性和韌性�,加強(qiáng)風(fēng)險(xiǎn)管理;
- 促進(jìn)實(shí)現(xiàn)聯(lián)合國(guó)可持續(xù)發(fā)展目標(biāo)中心:目標(biāo)9 -- 產(chǎn)業(yè)��、創(chuàng)新和基礎(chǔ)設(shè)施�����。
BSI 信息安全和隱私保護(hù)認(rèn)證��,助力組織全面筑牢安全防線
在ICT領(lǐng)域��, BSI始終處信息安全標(biāo)準(zhǔn)的前沿�����,曾經(jīng)制定了這一領(lǐng)域的世界上首個(gè)標(biāo)準(zhǔn)BS 7799,即ISO/IEC 27001信息安全管理體系的前身�。BSI從未止步于此,始終致力于解決新出現(xiàn)的問(wèn)題��,例如����,隱私、網(wǎng)絡(luò)和云安全�����,這是BSI最有能力為企業(yè)提供幫助的原因所在��。
ISO/IEC 27001�����、ISO/IEC 27701均是由國(guó)際標(biāo)準(zhǔn)化組織發(fā)布的國(guó)際標(biāo)準(zhǔn)����,是當(dāng)前信息安全管理和隱私信息管理領(lǐng)域最權(quán)威的國(guó)際通用標(biāo)準(zhǔn),在金融���、互聯(lián)網(wǎng)���、人工智能�、制造����、航空運(yùn)輸?shù)雀鱾€(gè)行業(yè)有眾多最佳實(shí)踐。在過(guò)往的幾年�,BSI與國(guó)內(nèi)多家行業(yè)知名企業(yè),諸如華為�����、榮耀�、Vivo���、小米主流手機(jī)廠商�,及阿里巴巴���、京東�、百度���、騰訊等互聯(lián)網(wǎng)領(lǐng)導(dǎo)企業(yè)均保持深度合作�。
BSI 信息�����、通信與技術(shù)產(chǎn)品群及整體解決方案
除了提供ICT領(lǐng)域的解決方案以外��,作為一家擁有120年歷史的全球首家標(biāo)準(zhǔn)機(jī)構(gòu)���,BSI同時(shí)還提供以國(guó)際標(biāo)準(zhǔn)為核心的多樣化解決方案����。
ISO/IEC 27002國(guó)際標(biāo)準(zhǔn)延伸知識(shí)
1. ISO/IEC 27002:2022是全面修訂嗎����?
是的,ISO/IEC 27002:2022是對(duì)標(biāo)準(zhǔn)的全面修訂��。ISO/IEC 27002:2022出版后���,2013版將廢止�����。
2. 修訂后的ISO/IEC 27002:2022有哪些變化�?
修訂后的ISO/IEC 27002:2022標(biāo)準(zhǔn)調(diào)整了現(xiàn)有控制項(xiàng)的結(jié)構(gòu),將列舉的安全控制項(xiàng)從114個(gè)減少至93個(gè)�,并刪除了一些未能反映最佳實(shí)踐的控制項(xiàng)。在ISO/IEC 27002標(biāo)準(zhǔn)的最新版本中���,新增了11個(gè)控制項(xiàng)����,包括威脅情報(bào)�����、使用云端服務(wù)的信息安全以及數(shù)據(jù)泄露防護(hù)等����。這樣一來(lái)�,不管網(wǎng)絡(luò)攻擊的性質(zhì)如何變化,企業(yè)都能夠持續(xù)控制其信息安全��。
3. ISO/IEC 27002新增了哪些內(nèi)容?
01)ISO/IEC 27002已通過(guò)審查�����,方便企業(yè)采用該標(biāo)準(zhǔn)�����。此外��,ISO/IEC 27002仍舊秉持其原有目標(biāo)�,確保不遺漏任何一個(gè)重要的控制項(xiàng)。將控制劃分為四大類別��,分別為:技術(shù)控制���、組織控制���、人員控制和實(shí)體控制。
02)定義了其他控制屬性�,例如:控制類型屬性:偵測(cè)、預(yù)防或矯正��;網(wǎng)絡(luò)安全屬性:基于NIST網(wǎng)絡(luò)安全框架的識(shí)別��、保護(hù)、偵測(cè)��、響應(yīng)和恢復(fù)功能����;信息安全屬性:機(jī)密性、完整性和可用性等���。
03)可以針對(duì)不同的受眾�����,從不同的角度按屬性對(duì)控制項(xiàng)進(jìn)行過(guò)濾���、排序和呈現(xiàn)。
對(duì)ISO/IEC 27001:2013的影響
1. 2022年�����,是否會(huì)因ISO/IEC 27002的修訂而對(duì)ISO/IEC 27001作出變更��?
將對(duì)ISO/IEC 27001進(jìn)行部分修訂��,以更新ISO/IEC 27002:2022(修訂版)附件A中的控制項(xiàng)�,并將2014年和2015年發(fā)布的2份小勘誤表納入其中。
2. ISO/IEC 27001修訂后會(huì)產(chǎn)生什么影響�?
需要開展過(guò)渡評(píng)估,并根據(jù)客戶的范圍�、地點(diǎn)數(shù)量、系統(tǒng)以及每個(gè)公司的復(fù)雜程度為每一位客戶制定計(jì)劃����,以確保控制措施和信息安全管理體系(ISMS)符合最新標(biāo)準(zhǔn)�。
3. ISO/IEC 27002的修訂對(duì)正在實(shí)施信息安全管理體系(ISMS)或即將獲得ISO/IEC 27001認(rèn)證的公司來(lái)說(shuō)意味著什么?
無(wú)論公司正在實(shí)施ISO 27001標(biāo)準(zhǔn)或準(zhǔn)備獲得認(rèn)證�,確保客戶能利用修訂版中提供的指南,最大限度地發(fā)揮信息安全管理體系(ISMS)的作用�。這一點(diǎn)才是最重要的。可以參考ISO 27002:2022���,確定并實(shí)施適合公司的控制項(xiàng)��。
