ISO/IEC 27002新版本出台,快来看看有哪些更新?

最新推荐文章于 2025-05-14 09:28:18 发布
原创 最新推荐文章于 2025-05-14 09:28:18 发布 · 2.7k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #网络安全

新版ISO/IEC 27002:2022信息安全控制标准已发布,章节从18减至8个,控制数从114降至93。新增11个控制,如威胁情报、云服务信息安全等,同时调整了控制属性,方便与NIST等框架结合。组织在2年内需适应新标准,更新风险处理和文档,以保持ISO/IEC 27001认证一致性。

新版国际标准ISO/IEC 27002:2022《信息安全、网络安全和隐私保护-信息安全控制》已于2022年2月15日正式发布,在这篇文章中,我们将介绍与ISO/IEC 27002:2013相比,新版本控制的主要变化,同时也包括组织如何使用它们。

章节结构发生变化

2013版总共有18个章节,2022版现在只有8个章节,以及两个附录:

ISO/IEC 27002:2013章节结构

1. 范围

2. 规范性引用文件

3. 术语和定义

4. 标准结构

5. 信息安全策略

6. 信息安全组织

7. 人力资源安全

8. 资产管理

9. 访问控制

10. 密码

11. 物理和环境安全

12. 运行安全

13. 通信安全

14. 系统获取、开发和维护

15. 供应商关系

16. 信息安全事件管理

17. 业务连续性管理的信息安全方面

18. 符合性

ISO/IEC 27002:2022章节结构

1. 范围

2. 规范性引用文件

3. 术语和定义及缩略语

4. 标准结构

5. 组织控制

6. 人员控制

7. 物理控制

8. 技术控制

附录A 使用属性

附录B 与ISO/IEC27002:2013的对应关系

新结构使我们更容易理解这些控制的适用性以及责任的指定。

控制数量发生变化

新版本将控制数量从114个减少到93个。此外,ISO/IEC 27002:2022中,删除了一个级别的副标题。

以“访问控制”为例

ISO/IEC 27002:2013

9访问控制

9.1访问控制的业务要求

9.1.1访问控制策略

ISO/IEC 27002:2022

5组织控制

5.15访问控制

控制属性

我们认为,这是ISO/IEC 27002:2022的最大价值,因为它提供了一种标准化的方法来从不同的视角对控制进行整理和筛选,以满足不同组织的需求。

每个控制的属性选项如下

1.控制类型:预防、检测和纠正

2.信息安全属性: 保密性、完整性和可用性

3.网络安全概念:识别、保护、检测、响应和恢复

4.运行能力:治理、资产管理、信息保护、人力资源安全、物理安全、系统和网络安全、应用安全、安全配置、身份和访问管理、威胁和脆弱性管理、连续性、供应商关系安全、法律符合性、信息安全事件管理以及信息安全保障

5.安全域: 治理和生态系统、保护、防御和恢复能力

这些属性简化了ISO/IEC 27002:2022控制与其他类似安全框架(如NIST风险管理框架)的结合。

新添加的控制

ISO/IEC 27002:2022新添加了11个控制,分别是:

5.7威胁情报

5.23云服务使用的信息安全

5.30信息和通信技术(ICT)业务连续性准备

7.4物理安全监视

8.9配置管理

8.10信息删除

8.11数据屏蔽

8.12数据防泄漏

8.16监视活动

8.23网页过滤

8.28安全编码

重命名的控制

23个控制的名称被更改,以便于理解。

例如:

“控制12.7.1信息系统审计控制”改为“8.34审计测试期间的信息系统保护。

“控制15.1.3信息和通信技术供应链”改为“5.21管理ICT供应链中的信息安全”

...

这些变化有助于将重点放在业务流程和活动的信息安全方面,减少了实施和维护信息安全管理体系的工作量。

删除的控制

尽管ISO/IEC 27002:2022减少了控制的数量,但在新版本中没有删除相关控制,只是为了更好便于理解而进行了合并。

合并的控制

57项控制合并为24项控制。 

例如:

“控制5.1.1信息安全策略”和“5.1.2信息安全策略审查”合并为“5.1信息安全策略”

“控制11.1.2物理入口控制”和“1 1.1.6交接区”合并为7.2物理入口。

...

拆分的控制

仅有一个控制被拆分:

“18.2.3技术合规性评审”被拆分为“5.36符合信息安全政策、规则和标准”和“8.8项符合技术漏洞管理”。

保持不变的控制

35个控制保持不变,仅改变其编号。

对组织信息安全管理体系的影响

如果组织已经根据ISO/IEC 27001实施了信息安全管理系统,现在不必太担心,无论新版本带来了哪些变化,对于经过认证的组织来说,将有一个为期2年的过渡期,并且只有在ISO/IEC 27001被正式更新来与这些新控制保持一致之后,该过渡期才会开始。

一旦这些新的控制措施成为ISO/IEC 27001附录A的一部分,组织将需要遵循以下步骤:

1. 审查风险处理并确保其与新结构和控制编号一致。

2. 在适用性声明中对齐控制列表。

3. 更新您的策略和规程,并可能编写与新控制措施相关的新文档。

由于标准中的这一变更涉及12个新的控制,因此在风险处理和文档编制方面的一致性将是组织面临的最大工作,但可能不需要在技术和规程方面进行重大更改。

文创AI系统的行业标准:架构师如何参与?
AI天才研究院
08-03 862
近年来,随着生成式AI(Generative AI)技术的飞速发展,特别是以GPT、Midjourney、Sora等为代表的大模型的出现,人工智能在文化创意(简称“文创”)领域的应用呈现出爆发式增长。从AI绘画、AI写作、AI作曲到AI生成视频、AI辅助设计、AI剧本创作,文创AI系统正深刻地改变着内容生产的方式、效率和形态,为创作者带来了前所未有的灵感和工具,也为文化产业注入了新的活力。然而,文创AI系统在带来巨大机遇的同时,也引发了一系列新的挑战和风险。
ISO/IEC 27002:2022中文
热门推荐
single_element的博客
04-30 2万+
ISO/IEC 27002:2022 信息安全网络安全与隐私保护 ——信息安全控制 *试译交流 *
ISO IEC 27002-2022.pdf
03-02
ISO IEC 27002-2022.pdf
ISO27002-2022 信息技术 网络安全与隐私保护 信息安全控制(中英文对照
03-09
ISO27002-2022 信息技术 网络安全与隐私保护 信息安全控制(中英文对照
ISO 27002-2013 中英文对照.pdf
02-17
ISO 27002-2013 中英文对照.
ISO 27002【实践指南】 -2022新标准
战神/calmness的博客
05-04 8294
一、发展背景 欧盟发布的智能网联汽车 UNR155 UNR1562021.01.01生效,ISO/IEC 21434 2021 Q2发布 美国商务部2021.1.19发布《确保信息和通信技术及服务供应链安全》规则 美国白宫2021.2.24发布《关于美国供应链的行政令》。。。 2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》 2021年8月20日,第十三届全国人民代表大会常务委员会第三十次会议通过《中华人民共和国个人信息保护法》。。。 全球.
最新ISO 27002 中文
07-17
2013更新ISO27002的中文翻译
ISO/IEC 27701:2019(隐私信息安全管理扩展要求和指南)解读(一)
weixin_43443872的博客
04-08 4366
ISO/IEC 27701:2019(隐私信息安全管理扩展要求和指南)解读 目录 个人隐私保护体系 ISO27701体系关注点 ISO27701体系实践 ISO27701实施步骤 注:由于篇幅过于长,需要本人有时间空闲的时候进行持续的更新…………见谅__ 根据目录来,第一个《个人隐私保护体系》 我们先来看一下历年的隐私体系的发展过程; 2011年:ISO29100:2011隐私框架; 2014年:ISO27018:2014(现在改是2019年最新)公有云中的个人信息保护指南; 2017年:BS 1
ISO/IEC 27005标准中文:信息安全风险管理新指南
ISO/IEC 27005是国际标准化组织(ISO)和国际电工委员会(IEC)联合发布的关于信息安全风险管理的标准,它的中文本则为使用中文的组织和个人提供了学习和参考的便利。作为ISO/IEC 27001信息安全管理体系要求的补充...
【技术专家深度谈】:ISO_IEC 29147标准对漏洞管理的影响分析
ISO/IEC 29147标准是指导漏洞管理的重要规范,涉及漏洞的定义、分类、生命周期管理、发现报告流程、披露验证评估以及修复跟踪等关键环节。本文首先概述了ISO/IEC 29147标准,随后深入探讨了漏洞管理的理论基础和实践...
【风险管理在ISO_IEC 27701中的重要性】:识别和减轻隐私风险的方法
本文详细介绍了ISO/IEC 27701标准,解释了隐私风险的理论基础,并阐述了隐私风险管理的实践方法。文章首先定义了隐私风险及其类型,并探讨了识别隐私风险的方法,包括风险评估框架、识别过程及工具和技术。在此基础...
信息技术-安全技术-信息安全控制实用规则 ISO IEC 27002-2013中文
01-05
2013年发布的最新ISO/IEC 27000系列标准之27002,中文翻译
ISO 27002标准2013.pdf
06-24
中文 ISO 27002 2013,这是中文pdf,不是英文。欢迎下载哦 例如:8.4.3选择控制目标和控制措施.
ISO_IEC_27002
04-28
ISO27002 信息技术-安全技术-信息安全控制实用规则 本标准可作为组织基于 ISO/IEC 27001 实施信息安全管理体系(ISMS)的过程中选择控制措施时的参考,或作为组织实施通用信息安全控制措施时的指南文件。本标准还可以用于开发行业和组织特定的信息安全管理指南,考虑其特定信息安全风险环境
ISO IEC 27001-2022 信息安全网络安全和隐私保护 信息安全管理系统 要求.pdf
11-24
ISO IEC 27001-2022 信息安全网络安全和隐私保护 信息安全管理系统 要求.pdf
ISO27002标准变化解读
weixin_70101757的博客
06-02 3546
ISO27002标准变化解读
iso 27002 2013
cnbird's blog
11-18 2560
http://www.iso.org/iso/catalogue_detail?csnumber=54533
ISO/IEC 27002-2022 信息技术网络安全控制中文:全面提升组织网络安全
最新发布
gitblog_06706的博客
05-14 999
ISO/IEC 27002-2022 信息技术网络安全控制中文:全面提升组织网络安全 【下载地址】ISOIEC27002-2022信息技术网络安全控制中文 ISO/IEC 27002-2022 信息技术 网络安全控制 中文是一份权威的信息安全资源,详细阐述了信息安全领域的最佳实践和控制措施。该标准涵盖了从信息安全政...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

北京爱思考

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值