一、发展背景随着网络主权、安全与竞争博弈、供应链安全、网络安全管理与建设、关键信息基础设施保护、网络攻击治理、数据安全与发展、网络内容治理、个人信息保护、网络犯罪打击与防治、新技术新应用安全的发展,ISO27001体系也迎来了新版本的改版的时间节点,ISO27002:2022 《信息安全,网络安全和隐私保护-信息安全控制》2已经于2022年2月15日发布,以顺应全球网络安全政策法律发展:?欧盟发布的智能网联汽车 UNR155 UNR156 2021.01.01生效,ISO/IEC 21434 2021 Q2发布?美国商务部2021.1.19发布《确保信息和通信技术及服务供应链安全》规则?美国白宫2021.2.24发布《关于美国供应链的行政令》。。。?2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》?2021年8月20日,第十三届全国人民代表大会常务委员会第三十次会议通过《中华人民共和国个人信息保护法》。2、新版变化及控制措施新版本标准体现了同其他信息安全标准的相关性融合云计算标准 ISO 27017融合网络空间安全标准 ISO 27032融入一些事故事件处理流程 ISO 27035融入一些隐私管理体系 ISO 27701其他控制模型的相关性:NIST CSF/COBIT 2019ISO 27002:2022的重要变化新版本带来的重要变化:控制章节的组织方式重大改革标准名称更改标准不再被称为“Code of Practice”,标准的新标题为“信息安全、网络安全和隐私保护-信息安全控制”。结构调整全文共有8个章节,2个附录。原A5-A18章节将被第4个章节取代,第5-8章:组织控制、人员控制、物理控制、技术控制 附录:使用属性、与ISO/IEC 27002:2013的对应关系。控制项数量调整新版本列举的控制项数量从114个(2013版)减少到93个(2022版),新增11个控制项,合并部分控制措施,删除了一些原有控制措施。新版本带来的其他变化:合并新术语和定义控制域和控制重新划分控制的新属性结构:5大类ISO 27002:2022 —— 纳入新的术语和定义共定义 38 个术语:1、通用术语 : 在ISO 27000中定义的,如访问控制、验证、真实性、攻击,实体、信息处理设施、信息安全事态、信息安全时间、信息安全事件管理、信息系统、利益相关方、不可抵赖、方针、程序、过程、记录、可靠性、威胁和脆弱性等。2、新的术语:保管链、机密信息、扰乱(ISO 22301)、终端、信息安全漏洞,个人身份识别信息(PII,ISO 29100),PII主体、PII处理者,个人信息影响评估(PIA,ISO 29134),恢复点目标 RPO(ISO 27031),恢复时间目标RTO (ISO 27031),用户敏感信息、特定主题的策略topic-specific policy 规则 rule等。新的术语,旨在网络安全、电子证据管理、知识产品和隐私管理、事件管理以及业务连续性管理等方面建立更广泛的范围。ISO 27002:2022 - Control Layout 控制布局每个控制的布局包含以下内容:- 控制标题:控制的简称;- 属性表:表格显示给定控制的每个属性的值;- 控制:控制的描述;- 目的:为什么实施控制;- 指导:应该如何实施控制;- 其他信息:解释性文字或其他相关文件的引用。2013年版中每个域都设置了一系列的控制目标objective (35目标),信息安全控制(114控制),新版没有控制目标的定义(已删除),变更为“目的”,总共定义了新的93个控制,以及93个purpose的目的。ISO 27002:2022 - 控制的新属性结构新版每个控制五个属性,可以针对不同的受众,从不同的角度按属性对控制项进行过滤、排序和呈现。属性的描述如下:
iso27001最新标准
这些属性可根据具体控制情况分析其属性:
控制类型:可帮助加强组织内部控制,比如用预防、检测和纠正控制来确定管理高风险;
信息安全属性:对于属性的理解将帮助管理具有类型特征的属性,属性的聚合视图能更加高效管理控制,以识别潜在风险
网络安全概念:用以实现NIST CSF,促进围绕模型的主要功能进行对齐;
运营能力:与ISO27002:2013有关的重组,是一种分类建立管制责任在一个地区或群体使用这个属性;
安全域:定义网络安全管理高层,主要适用于大型组织
属性定义的意义:
新标准的重要规则定义,为组织管理信息安全控制、网络安全和隐私保护提供了相关信息,组织可用于发展各种机制来进行控制管理,并加强内部控制、风险控制评估、分配职责、审计等。
