ISO27002新版标准变化解读

最新推荐文章于 2024-06-05 10:30:31 发布
最新推荐文章于 2024-06-05 10:30:31 发布
阅读量2.7k 收藏 10
点赞数 2
文章标签: 安全
原文链接:https://zhuanlan.zhihu.com/p/523485674
版权

ISO27000标准概述

什么是信息安全管理?

◆ 信息安全的成败取决于两个因素:技术和管理。

◆ 技术是信息安全的构筑材料,管理是真正的粘合剂和催化剂。

◆ 人们常说,三分技术,七分管理,可见管理对信息安全的重要性。

◆ 信息安全管理(Information Security Management)作为组织完整的管理 体系中一个重要的环节,其主要活动包括:识别信息资产及相关风险,采取恰当 的策略和控制措施以消减风险,监督控制措施有效性,提升人员安全意识等。

◆ 现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因, 不如说是管理不善造成的,理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标来说尤其重要

信息安全管理体系

• 信息安全管理应该是体系化的

• 信息安全必须从整体去考虑,而不是以被动响应安全事件作为信息安全的主要驱动和工作,避免 “头痛医头脚痛医脚”;

• 信息安全管理体系针对组织的信息资产,来指导和控制关于信息安全风险相互协调的活动,应该 成为组织整体经营管理体系的一部分。

• 信息安全管理体系(ISMS)国际通行的标准是 ISO/IEC 27001:2013, 包括14个领域、35个控制目标、114个控制措施

安全控制框架:ISO27000系列标准

◆ 最早是英国标准协会 (British Standards Institute,BSI)制定的信 息安全标准。目前已经成为国际标准。

◆ 由信息安全方面的最佳惯例组成的一套全面的控制集。

◆ 信息安全管理方面最受推崇的国际标准。

ISO/IEC 27001&27002发展历程

 

标准改版背景

国际标准化组织(ISO组织)遵循所有标准每隔5年必须 进行升级的原则。

当前版本的信息安全管理体系标准ISO 27001:2013与 ISO 27002:2013已经使用了8年。 ISO 27001:2013与ISO 27002:2013版在体系整合、控制项逻辑性与充分性等方面都有改进的空间。

Version:0.9 StartHTML:0000000105 EndHTML:0000001668 StartFragment:0000000141 EndFragment:0000001628

标准改版特点

管理体系更容易整合:在新版标准中采取Annex SL做结构性要求,使信息安全管理体系更容易与其他管理体系融合。

融入企业面临新安全挑战:对部分控制项进行了合并、删除,并且新增了部分控制项以反映当前信息安全发展趋势。

更多指引延伸参考:新增许多指引供企业参考,组织可以通过不同的面以及风险进行深度的强化。

ISO27002:2005-2013内容框架演变

 ISO27000标准族

ISO27000标准清单 

ISO27002:2022变化解读

ISO 27002:2022变化概览

ISO 27002:2022标准名称变化

ISO27002:2013-2022内容结构变化

 

ISO27002:2013-2022术语内容变化

 

ISO 27002:2022控制分类变化

由14个控制域(Domain)变为4个主题(Themes) 

 ISO 27002:2022新增控制措施

ISO 27002:2022控制措施布局

 

ISO 27002:2022新增控制属性 

控制类型属性

➢ 威慑(Deterrent) 旨在打击潜在的攻击者

预防(Preventive)旨在避免发生事件

检测(Detective) 确认事件的活动和潜在的入侵者

纠正(Corrective)事件发生后,修复部件或系统

恢复(Recovery) 目的是使环境恢复正常运作

补偿(Compensating) 提供可替代控制措施

信息安全属性

保密性(Confidentiality)—— 确保信息在存储、使用、传输过程中不会泄 漏给非授权用户或实体

完整性(Integrity)—— 确保信息在存储、使用、传输过程中不会被非授权篡改,防止授权用户或实体不恰当地修改信息,保持信息内部和外部的一致性。

可用性(Availability)—— 确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。 

 网络安全概念属性-IPDRR

运营能力属性 

 

2013版控制域与2022版运营能力对应关系  

 安全域属性

➢ 治理与生态系统(Governance& Ecosystem)

保护(Protection)

防御(Defence)

恢复力(Resilience)

ISO 27002:2022新增控制视图

 ISO 27002:2022控制视图筛选

 ISO 27002:2022控制视图筛选

新版本对企业实施ISMS的影响

对认证的影响

对组织信息安全管控的影响 

 

转自刘歆轶ISO27002新版标准变化解读 2022.05 

谷安安全牛
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ISO27002介绍和讲解.pptx
02-01
ISO27002介绍和讲解.pptx
不要被自己的漏洞打败 解读ISO27001及ISO27002漏洞管理方法
weixin_33701294的博客
09-01 1052
您一定听说或亲身经历过这样的情况。在一个平常的日子,系统正常运行,但突然无缘无故变得很慢或近乎停止运行。用户支持部门开始接到几十个电话询问原因,IT人员奋战数小时使所有系统恢复在线正常运行。令人欣慰地是,该事件未造成数据丢失,只是导致IT工作人员紧张忙碌了数小时。 在处理该事件过程中,IT人员发现事件的根本原因在于信息系统中存在缺陷。该缺陷可能会被蓄意或...
ISO27001、ISO27002ISO27017、ISO27018之间的关系与区别
最新发布
2401_84945993的博客
06-05 336
通常,如果通过ISO 27001、ISO 27017、ISO 27018认证,那么审核的时候(复审),这三个认证是放在一块审核的。 另外,是没有通过ISO 27002认证这一说法的,通过ISO 27001认证也将意味着符合ISO 27002要求。ISO 27001 信息安全管理体系—要求ISO 27002 信息技术—安全技术—信息安全管理实践规范ISO 27017 针对云服务的信息安全控制提供了实施指导。ISO 27018 是首个专注于云中个人数据保护的国际行为准则。ISO 27017和ISO 27018都
新版ISO 27002 中文版
07-17
2013后更新的ISO27002的中文翻译版。
ISO27002新版标准变化解读.pdf
05-28
ISO27002新版标准变化解读.pdf
ISO27002-2013中文版.pdf
07-03
ISO27002-2013中文版
ISO14001 2015标准变化与条文解读.pdf
04-13
三、标准变化解读 新版ISO14001标准引入了“合规性承诺证明”概念,考虑引入对组织合规性情况相关知识和理解进行证明的概念,并强调战略性考虑以及组织进行环境管理的好处和机遇。在战略层面上强化组织的环境管理和...
ISO 14001 2015 标准解读.pdf
04-13
本文将对 ISO 14001 2015 标准进行解读,介绍其产生背景、主要变化标准结构、实施步骤和好处。 一、ISO 14001 产生背景 工业革命的兴起带来了人类生活水平的提高,但同时也带来了环境问题的恶化、污染和生物多样...
ISO9001:2015新版标准解读.pdf
06-27
ISO 9001:2015是国际标准化组织发布的一套质量管理标准,它的主要目的是帮助组织确保其产品和服务持续满足顾客需求,并不断提高质量管理体系的效率和效果。2015年版本的更新旨在更好地适应不断变化的商业环境,强化...
ISO27002-2022 信息技术 网络安全与隐私保护 信息安全控制(中英文对照版)
03-09
ISO27002-2022 信息技术 网络安全与隐私保护 信息安全控制(中英文对照版)
ISO/IEC27002 2013 中文版
04-02
ISO/IEC 27002信息技术-安全技术-信息安全控制使用规则第二版进行了技术上的修订,并取消和替代第一版(ISO/IEC 27002:2005)
ISO 27002标准2013版.pdf
06-24
中文版 ISO 27002 2013版,这是中文版pdf,不是英文版。欢迎下载哦 例如:8.4.3选择控制目标和控制措施.
信息安全管理实用规则(ISO27002).pdf
05-14
象其他重要业务资产一样, 信息也是对组织业务至关重要的一种资产, 因此需要加以 适当地保护。在业务环境互连日益增加的情况下这一点显得尤为重要。这种互连性的增加 导致信息暴露于日益增多的、范围越来越广的威胁和脆弱性当中(也可参考关于信息系统 和网络的安全的OECD 指南)。信息可以以多种形式存在。它可以打印或写在纸上、以电子方式存储、用邮寄或电子 手段传送、呈现在胶片上或用语言表达。无论信息以什么形式存在, 用哪种方法存储或共 享,都应对它进行适当地保护。 信息安全是保护信息免受各种威胁的损害, 以确保业务连续性, 业务风险最小化, 投 资回报和商业机遇最大化。 信息安全是通过实施一组合适的控制措施而达到的, 包括策略、过程、规程、组织结 构以及软件和硬件功能。在需要时需建立、实施、监视、评审和改进这些控制措施,以确 保满足该组织的特定安全和业务目标。这个过程应与其他业务管理过程联合进行。
信息技术-安全技术-信息安全控制实用规则 ISO IEC 27002-2013中文版
01-05
2013年发布的最新版ISO/IEC 27000系列标准27002,中文翻译版。
【格式化文档】ISO27001控制措施+ISO27002实施指南 【上】
学习带来的愉悦具有很高的延迟,但还在承受范围内
03-11 2264
0x000 前言部分 来自ISO/IEC 27002:2013引言部分 组织识别出其安全要求是非常重要的,安全要求有三个主要来源: 1. 对组织的风险进行评估,考虑组织的整体业务策略与目标。通过风险评估,识别资产受到的威胁,评价易受威胁利用的脆弱性和威胁发生的可能性,估计潜在的影响; 2. 组织、贸易伙伴、承包方和服务提供者必须满足的法律、法规、规章和合同要求,以及他们的社会文化环境...
ISOIEC 27001:2013 ISOIEC 27002:2013
09-09
本下载链接里面有两份PDF文件,ISOIEC 27001:2013 , ISOIEC 27002:2013 ,需要的同学可以下载学习。
GB/T 22081-2016 ~ ISO/IEC 27002:2013 信息技术 安全技术 信息安全控制实用规则_decrypted.PDF
06-23
标准可作为组织基于GB/T 22080实现信息安全管理体系(ISMS)过程中选择控制时的参考,或作为组织在实现通用信息安全控制时的指南。在考虑具体信息安全风险环境后,本标准也可用于制定特定行业和特定组织的信息安全管理指南。
iso27002新版标准变化解读
01-21
ISO 27002是信息安全管理领域的国际标准,旨在帮助组织建立和维护有效的信息安全管理体系。最新版本的ISO 27002标准在内容上进行了一些调整和更新,主要体现在以下几个方面。 首先,新版ISO 27002标准强调了风险管理和风险评估的重要性。组织需要根据其具体的情况和需求,对信息资产和潜在威胁进行全面的评估,并制定相应的风险管理策略和措施。 其次,新版标准对云计算、移动设备和社交媒体等新兴技术和应用的安全管理提出了更具体的要求。鉴于这些新技术的快速发展和广泛应用,ISO 27002标准对于如何在这些环境下有效管理信息安全提出了更为详细的指导。 此外,新版标准还对供应商和第三方服务提供商的安全管理进行了加强。鉴于许多组织都会与外部合作伙伴共享信息和资源,ISO 27002标准对于如何与供应商建立安全的合作关系提出了更明确的要求和指引。 综上所述,新版ISO 27002标准在风险管理、新兴技术应用和第三方合作等方面进行了一些调整和更新,以更好地适应当前信息安全管理的需求和挑战。组织在实施信息安全管理体系时,应当结合最新的标准要求,不断完善和提升自身的信息安全管理水平。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值