IS027001-2022及IS027002-2022標(biāo)準(zhǔn)的主要變化修訂后的ISO/IEC27002:2022有哪些調(diào)整？修訂后的ISO/IEC27002:2022標(biāo)準(zhǔn)調(diào)整了現(xiàn)有控制項(xiàng)的結(jié)構(gòu)，將列舉的安全控制項(xiàng)從114個(gè)減少至93個(gè)，并刪除了一些未能反映最佳實(shí)踐的控制項(xiàng)。ISO/IEC27002:2022ISO/IEC27002:20135、信息安全策略6、信息安全組織7、人力資源安全8、資產(chǎn)管理9、訪問控制10、密碼11、物理和環(huán)境安全12、運(yùn)行安全13、通信安全14、系統(tǒng)獲取、開發(fā)和維護(hù)15、供應(yīng)商關(guān)系16、信息安全事件管理17、業(yè)務(wù)i車?yán)m(xù)性管理的信息安全方面18、符合性

在TS0/IEC27002標(biāo)準(zhǔn)的最新版本中，新增了11個(gè)控制項(xiàng),包括威脅情報(bào)、使用云端服務(wù)的信息安全以及數(shù)據(jù)泄露防護(hù)等。這樣一來，不管網(wǎng)絡(luò)攻擊的性質(zhì)如何變化，企業(yè)都能夠持續(xù)控制其信息安全。5.7安全威脅情報(bào)對不斷變化的威脅環(huán)境，組織應(yīng)保持警惕及清醒的認(rèn)識.威脅情報(bào)的層級包括：戰(zhàn)略層面、戰(zhàn)術(shù)層面和運(yùn)營層面.例如：從特殊利益相關(guān)方（控制項(xiàng)5.6與特殊利益相關(guān)方聯(lián)系）、從信息安全事件（控制項(xiàng)5.27從信息安全事件中學(xué)習(xí)）或安全運(yùn)營中心（SOC）f獲得有關(guān)戰(zhàn)術(shù)和運(yùn)營層面的威脅情報(bào)信息。與此同時(shí)，組織還應(yīng)該定期檢查本行業(yè)以及相關(guān)行業(yè)不斷變化的威脅形勢。5.23使用云服務(wù)的信息安全過去十年以來越來越多的組織開始使用云服務(wù)，作為組織控制中一個(gè)新的控制項(xiàng)，正確運(yùn)用這種控制項(xiàng)需要云技術(shù)的相關(guān)知識，因此組織在采用此類控制時(shí)應(yīng)考慮讓云專家參與.530信息技術(shù)為業(yè)務(wù)連續(xù)性做好準(zhǔn)備這個(gè)新控制項(xiàng)的目的不同于控制項(xiàng)5.29中斷期間的信息安全.它旨在確保組織信息和其他相關(guān)資產(chǎn)在中斷期間的可用性.IT部門制定的災(zāi)難恢復(fù)計(jì)劃（DRP）可以作為這種控制項(xiàng)的實(shí)施示例，前提是該計(jì)劃滿足組織的業(yè)務(wù)連續(xù)性需求.控制項(xiàng)5.29（信息安全的中斷期間）旨在維護(hù)中斷期間信息的俁密性、完整性、可用性，例如：由干電源中斷，物理訪問控制暫時(shí)不可用.物理安全監(jiān)控作為ISO/IEC27002:2022附錄B一個(gè)新的控制項(xiàng)，許多組織實(shí)際上早已在其物理場所采取了這類技術(shù)手段，例如：安裝監(jiān)控系統(tǒng)、入侵檢測系統(tǒng)或門禁控制系統(tǒng)等。8.9配置管理配置管理是對硬件、軟件、服務(wù)（例如：云服務(wù)）和網(wǎng)絡(luò)在其整個(gè)生命周期中進(jìn)行定期管理的過程。系統(tǒng)加固是該控制的一個(gè)實(shí)施示例。應(yīng)維護(hù)配置，以確保其有效。遵循變更管理流程8.32（變更管理），以受控制的方式進(jìn)行變更，同時(shí)，變更的記錄應(yīng)被安全保存。8.10信息刪除這三個(gè)控制項(xiàng)的添加與2022版（信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)-信息安全控制）的標(biāo)題相呼應(yīng).這些控制方式通常在當(dāng)前的數(shù)據(jù)隱私法和國際標(biāo)準(zhǔn)如GDPR,ISO/IEC27701,以保護(hù)數(shù)據(jù)主體的權(quán)利中被采用。8.11數(shù)據(jù)脫敏8.12數(shù)據(jù)防泄露8.16行為監(jiān)控這個(gè)新的控制項(xiàng)旨在監(jiān)控網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序的異常行為和潛在的信息安全事件.各組織采用了各種監(jiān)控手段來監(jiān)控其IT環(huán)境，例如：通過安裝防病毒軟件，防火堵或帶日志的網(wǎng)頁過濾器等。8.23網(wǎng)頁過濾這個(gè)新的控制項(xiàng)相對簡單。許多組織已經(jīng)在其IT網(wǎng)絡(luò)中采用它。盡管，過濾掉的外部網(wǎng)站越多，被惡意內(nèi)容滲透的機(jī)會越小，但是，組織應(yīng)該在信息安全風(fēng)險(xiǎn)與業(yè)務(wù)需求之間做出平衡.8.28安全開發(fā)這個(gè)新的控制項(xiàng)旨在減少新開發(fā)或增強(qiáng)開發(fā)的軟件時(shí)潛在的信息安全脆弱性的數(shù)量。在2013版中，這個(gè)控制項(xiàng)被省略了。ISO/IEC27002新增了哪些內(nèi)容？01）ISO/IEC27002已通過審查，方便企業(yè)采用該標(biāo)準(zhǔn)。此外，ISO/IEC27002仍舊秉持其原有目標(biāo)，確保不遺漏任何一個(gè)重要的控制項(xiàng)。將控制劃分為四大類別，分別為：技術(shù)控制、組織控制、人員控制和實(shí)體控制。02）定義了其他控制屬性，例如：控制類型屬性：偵測、預(yù)防或矯正；網(wǎng)絡(luò)安全屬性：基于NIST網(wǎng)絡(luò)安全框架的識別、保護(hù)、偵測、響應(yīng)和恢復(fù)功能；信息安全屬性：機(jī)密性、完整性和可用性等。03）可以針對不同的受眾，從不同的角度按屬性對控制項(xiàng)進(jìn)行過濾、排序和呈現(xiàn)。對ISO/IEC27001:2013的影響L2022年，是否會因IS0∕IEC27002的修訂而對IS0/IEC27001作出變更？將對IS0/IEC27001進(jìn)行部分修訂，以更新IS0/IEC27002:2022(修訂版)附件A中的控制項(xiàng)，并將2014年和2015年發(fā)布的2份小勘誤表納入其中。IS0/IEC27001修訂后會產(chǎn)生什么影響？需要開展過渡評估，并根據(jù)客戶的范圍、地點(diǎn)數(shù)量、系統(tǒng)以及每個(gè)公司的復(fù)雜程度為每一位客戶制定計(jì)劃，以確?？刂拼胧┖托畔踩芾眢w系(ISMS)符合最新標(biāo)準(zhǔn)。ISO/IEC27002的修訂對正在實(shí)施信息安全管理體系(ISMS)或即將獲得IS0/IEC27001認(rèn)證的公司來說意味著什么？無論公司正在實(shí)施ISO27001標(biāo)準(zhǔn)或準(zhǔn)備獲得認(rèn)證，確保客戶能利用修訂版中提供的指南，最大限度地發(fā)揮信息安全管理體系(ISMS)的作用。這一點(diǎn)才是最重要的?？梢詤⒖糏So27002:2022,確定并實(shí)施適合公司的控制項(xiàng)。IS0/IEC27000己不再是2022版的標(biāo)準(zhǔn)參考文件。相反,《IS0/IEC27002:2022》第3條中定義的術(shù)語和定義則適用。建議2022版的用戶參考這些術(shù)語和定義，以方便理解文檔中的控制和指南。2022版ISOIEC27001新版信息安全管理體系標(biāo)準(zhǔn)的主要變化一、標(biāo)題的變化新版的標(biāo)題更改為《信息安全，網(wǎng)絡(luò)安全和隱私保護(hù)一信息安全管理系統(tǒng)一要求》。它與ISO/IEC27002:2022《信息安全，網(wǎng)絡(luò)安全和隱私保護(hù)一信息安全控制》的標(biāo)題一致。二、條款編號的變化ISO/IEC27001:2022中引入了新的子條款。兩個(gè)子條款的順序是互換的。三、新文本的變化ISO/IEC27001:2022中引入了新文本。4.2了解相關(guān)方的需求和期里該組織應(yīng)確定：a)?…?.b)……c)這些要求中的哪些將通過信息安全管理體系來解決.備注：相關(guān)方的要求要包括法律、法規(guī)要求和合同義務(wù).在4.2的備注中，■■可包括法律和監(jiān)管要求.變?yōu)?能包括法律和監(jiān)管要求二4.4信息安全管理制度該組織應(yīng)建立、實(shí)施、維護(hù)并持續(xù)改進(jìn)信息安全管理作系.包括所需的過程和它們之間的相互作用.按照……這些文本也包括在其他管理體系標(biāo)準(zhǔn)中，例如：ISO9001:2015,ISO22301:2019.5.1領(lǐng)導(dǎo)和承諾標(biāo)準(zhǔn)沒變，只是增加了以下備注：注：本文件中提及的??活動"可廣義解釋為指組織存在百的的核心活動。/PS：雖然增加了新的文本，并重新安排了一些文本，但它們只是澄清了要求，并沒有給標(biāo)準(zhǔn)增加新的要求。四、附錄A的變化附錄A的標(biāo)題改為〃信息安全控制措施參考〃。另外，控制措施也進(jìn)行了修訂，以與IS0/IEC27002:2022保持一致。然而，與2013年版本的情況一樣，只有控制的描述來自于IS0/IEC27002:2022oISO/IEC27002:2022中的其他元素,如控制的目的和屬性，并沒有包括在ISO/IEC27001:2022附錄A中。實(shí)施ISO/IEC27001:2022的組織應(yīng)參考該指導(dǎo)標(biāo)準(zhǔn)，以更好地理解信息安全控制。五、其他變化條款I(lǐng)S027001-2022 IS027001-20134.1理解組織及其環(huán)境確定這些事項(xiàng)是指ISO31000:2018的第5.4.1條所述的用以建立組織的外部和內(nèi)部環(huán)境確定這些事項(xiàng)是ISo31000:2009的第5.3條所述的用以建立組織的外部和內(nèi)部環(huán)境備注中對ISO31ODO的引用是根據(jù)新版的ISo31000更新的.5.1領(lǐng)導(dǎo)和承諾注："本文件中提到的?活動.可被廣義地解釋為指那些對組織存在的目的具有核心意義的活動."確定這些事項(xiàng)是ISo31000:2009的第5.3條所述的用以建立組織的外部和內(nèi)部環(huán)境在ISO/IEC27001第5.1條中增加了一個(gè)新的備注.5.3組織角色、責(zé)任和權(quán)力最高管理層應(yīng)確保與信息安全有關(guān)的角色的費(fèi)任和權(quán)限在該組織內(nèi)得到分配和溝通.最高管理層應(yīng)確保與信息安全