一、發(fā)展背景隨著網(wǎng)絡(luò)主權(quán)、安全與競(jìng)爭(zhēng)博弈、供應(yīng)鏈安全、網(wǎng)絡(luò)安全管理與建設(shè)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、網(wǎng)絡(luò)攻擊治理、數(shù)據(jù)安全與發(fā)展、網(wǎng)絡(luò)內(nèi)容治理、個(gè)人信息保護(hù)、網(wǎng)絡(luò)犯罪打擊與防治、新技術(shù)新應(yīng)用安全的發(fā)展,ISO27001體系也迎來(lái)了新版本的改版的時(shí)間節(jié)點(diǎn),ISO27002:2022 《信息安全,網(wǎng)絡(luò)安全和隱私保護(hù)-信息安全控制》2已經(jīng)于2022年2月15日發(fā)布,以順應(yīng)全球網(wǎng)絡(luò)安全政策法律發(fā)展:歐盟發(fā)布的智能網(wǎng)聯(lián)汽車(chē) UNR155 UNR156 2021.01.01生效,ISO/IEC 21434 2021 Q2發(fā)布美國(guó)商務(wù)部2021.1.19發(fā)布《確保信息和通信技術(shù)及服務(wù)供應(yīng)鏈安全》規(guī)則美國(guó)白宮2021.2.24發(fā)布《關(guān)于美國(guó)供應(yīng)鏈的行政令》。。。2021年6月10日,第十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十九次會(huì)議通過(guò)《中華人民共和國(guó)數(shù)據(jù)安全法》2021年8月20日,第十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第三十次會(huì)議通過(guò)《中華人民共和國(guó)個(gè)人信息保護(hù)法》。2、新版變化及控制措施新版本標(biāo)準(zhǔn)體現(xiàn)了同其他信息安全標(biāo)準(zhǔn)的相關(guān)性融合云計(jì)算標(biāo)準(zhǔn) ISO 27017融合網(wǎng)絡(luò)空間安全標(biāo)準(zhǔn) ISO 27032融入一些事故事件處理流程 ISO 27035融入一些隱私管理體系 ISO 27701其他控制模型的相關(guān)性:NIST CSF/COBIT 2019ISO 27002:2022的重要變化新版本帶來(lái)的重要變化:控制章節(jié)的組織方式重大改革標(biāo)準(zhǔn)名稱(chēng)更改標(biāo)準(zhǔn)不再被稱(chēng)為“Code of Practice”,標(biāo)準(zhǔn)的新標(biāo)題為“信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)-信息安全控制”。結(jié)構(gòu)調(diào)整全文共有8個(gè)章節(jié),2個(gè)附錄。原A5-A18章節(jié)將被第4個(gè)章節(jié)取代,第5-8章:組織控制、人員控制、物理控制、技術(shù)控制 附錄:使用屬性、與ISO/IEC 27002:2013的對(duì)應(yīng)關(guān)系。控制項(xiàng)數(shù)量調(diào)整新版本列舉的控制項(xiàng)數(shù)量從114個(gè)(2013版)減少到93個(gè)(2022版),新增11個(gè)控制項(xiàng),合并部分控制措施,刪除了一些原有控制措施。新版本帶來(lái)的其他變化:合并新術(shù)語(yǔ)和定義控制域和控制重新劃分控制的新屬性結(jié)構(gòu):5大類(lèi)ISO 27002:2022 —— 納入新的術(shù)語(yǔ)和定義共定義 38 個(gè)術(shù)語(yǔ):1、通用術(shù)語(yǔ) : 在ISO 27000中定義的,如訪(fǎng)問(wèn)控制、驗(yàn)證、真實(shí)性、攻擊,實(shí)體、信息處理設(shè)施、信息安全事態(tài)、信息安全時(shí)間、信息安全事件管理、信息系統(tǒng)、利益相關(guān)方、不可抵賴(lài)、方針、程序、過(guò)程、記錄、可靠性、威脅和脆弱性等。2、新的術(shù)語(yǔ):保管鏈、機(jī)密信息、擾亂(ISO 22301)、終端、信息安全漏洞,個(gè)人身份識(shí)別信息(PII,ISO 29100),PII主體、PII處理者,個(gè)人信息影響評(píng)估(PIA,ISO 29134),恢復(fù)點(diǎn)目標(biāo) RPO(ISO 27031),恢復(fù)時(shí)間目標(biāo)RTO (ISO 27031),用戶(hù)敏感信息、特定主題的策略topic-specific policy 規(guī)則 rule等。新的術(shù)語(yǔ),旨在網(wǎng)絡(luò)安全、電子證據(jù)管理、知識(shí)產(chǎn)品和隱私管理、事件管理以及業(yè)務(wù)連續(xù)性管理等方面建立更廣泛的范圍。ISO 27002:2022 - Control Layout 控制布局每個(gè)控制的布局包含以下內(nèi)容:- 控制標(biāo)題:控制的簡(jiǎn)稱(chēng);- 屬性表:表格顯示給定控制的每個(gè)屬性的值;- 控制:控制的描述;- 目的:為什么實(shí)施控制;- 指導(dǎo):應(yīng)該如何實(shí)施控制;- 其他信息:解釋性文字或其他相關(guān)文件的引用。2013年版中每個(gè)域都設(shè)置了一系列的控制目標(biāo)objective (35目標(biāo)),信息安全控制(114控制),新版沒(méi)有控制目標(biāo)的定義(已刪除),變更為“目的”,總共定義了新的93個(gè)控制,以及93個(gè)purpose的目的。ISO 27002:2022 - 控制的新屬性結(jié)構(gòu)新版每個(gè)控制五個(gè)屬性,可以針對(duì)不同的受眾,從不同的角度按屬性對(duì)控制項(xiàng)進(jìn)行過(guò)濾、排序和呈現(xiàn)。屬性的描述如下:
iso27001最新標(biāo)準(zhǔn)
這些屬性可根據(jù)具體控制情況分析其屬性:
控制類(lèi)型:可幫助加強(qiáng)組織內(nèi)部控制,比如用預(yù)防、檢測(cè)和糾正控制來(lái)確定管理高風(fēng)險(xiǎn);
信息安全屬性:對(duì)于屬性的理解將幫助管理具有類(lèi)型特征的屬性,屬性的聚合視圖能更加高效管理控制,以識(shí)別潛在風(fēng)險(xiǎn)
網(wǎng)絡(luò)安全概念:用以實(shí)現(xiàn)NIST CSF,促進(jìn)圍繞模型的主要功能進(jìn)行對(duì)齊;
運(yùn)營(yíng)能力:與ISO27002:2013有關(guān)的重組,是一種分類(lèi)建立管制責(zé)任在一個(gè)地區(qū)或群體使用這個(gè)屬性;
安全域:定義網(wǎng)絡(luò)安全管理高層,主要適用于大型組織
屬性定義的意義:
新標(biāo)準(zhǔn)的重要規(guī)則定義,為組織管理信息安全控制、網(wǎng)絡(luò)安全和隱私保護(hù)提供了相關(guān)信息,組織可用于發(fā)展各種機(jī)制來(lái)進(jìn)行控制管理,并加強(qiáng)內(nèi)部控制、風(fēng)險(xiǎn)控制評(píng)估、分配職責(zé)、審計(jì)等。
