ISO27001-2022及ISO27002-2022标准的主要变化

IS027001-2022及IS027002-2022标准的主要变化修订后的ISO/IEC27002:2022有哪些调整？修订后的ISO/IEC27002:2022标准调整了现有控制项的结构，将列举的安全控制项从114个减少至93个，并删除了一些未能反映最佳实践的控制项。ISO/IEC27002:2022ISO/IEC27002:20135、信息安全策略6、信息安全组织7、人力资源安全8、资产管理9、访问控制10、密码11、物理和环境安全12、运行安全13、通信安全14、系统获取、开发和维护15、供应商关系16、信息安全事件管理17、业务i车续性管理的信息安全方面18、符合性

在TS0/IEC27002标准的最新版本中，新增了11个控制项,包括威胁情报、使用云端服务的信息安全以及数据泄露防护等。这样一来，不管网络攻击的性质如何变化，企业都能够持续控制其信息安全。5.7安全威胁情报对不断变化的威胁环境，组织应保持警惕及清醒的认识.威胁情报的层级包括：战略层面、战术层面和运营层面.例如：从特殊利益相关方（控制项5.6与特殊利益相关方联系）、从信息安全事件（控制项5.27从信息安全事件中学习）或安全运营中心（SOC）f获得有关战术和运营层面的威胁情报信息。与此同时，组织还应该定期检查本行业以及相关行业不断变化的威胁形势。5.23使用云服务的信息安全过去十年以来越来越多的组织开始使用云服务，作为组织控制中一个新的控制项，正确运用这种控制项需要云技术的相关知识，因此组织在采用此类控制时应考虑让云专家参与.530信息技术为业务连续性做好准备这个新控制项的目的不同于控制项5.29中断期间的信息安全.它旨在确保组织信息和其他相关资产在中断期间的可用性.IT部门制定的灾难恢复计划（DRP）可以作为这种控制项的实施示例，前提是该计划满足组织的业务连续性需求.控制项5.29（信息安全的中断期间）旨在维护中断期间信息的俣密性、完整性、可用性，例如：由干电源中断，物理访问控制暂时不可用.物理安全监控作为ISO/IEC27002:2022附录B一个新的控制项，许多组织实际上早已在其物理场所采取了这类技术手段，例如：安装监控系统、入侵检测系统或门禁控制系统等。8.9配置管理配置管理是对硬件、软件、服务（例如：云服务）和网络在其整个生命周期中进行定期管理的过程。系统加固是该控制的一个实施示例。应维护配置，以确保其有效。遵循变更管理流程8.32（变更管理），以受控制的方式进行变更，同时，变更的记录应被安全保存。8.10信息删除这三个控制项的添加与2022版（信息安全、网络安全和隐私保护-信息安全控制）的标题相呼应.这些控制方式通常在当前的数据隐私法和国际标准如GDPR,ISO/IEC27701,以保护数据主体的权利中被采用。8.11数据脱敏8.12数据防泄露8.16行为监控这个新的控制项旨在监控网络、系统和应用程序的异常行为和潜在的信息安全事件.各组织采用了各种监控手段来监控其IT环境，例如：通过安装防病毒软件，防火堵或带日志的网页过滤器等。8.23网页过滤这个新的控制项相对简单。许多组织已经在其IT网络中采用它。尽管，过滤掉的外部网站越多，被恶意内容渗透的机会越小，但是，组织应该在信息安全风险与业务需求之间做出平衡.8.28安全开发这个新的控制项旨在减少新开发或增强开发的软件时潜在的信息安全脆弱性的数量。在2013版中，这个控制项被省略了。ISO/IEC27002新增了哪些内容？01）ISO/IEC27002已通过审查，方便企业采用该标准。此外，ISO/IEC27002仍旧秉持其原有目标，确保不遗漏任何一个重要的控制项。将控制划分为四大类别，分别为：技术控制、组织控制、人员控制和实体控制。02）定义了其他控制属性，例如：控制类型属性：侦测、预防或矫正；网络安全属性：基于NIST网络安全框架的识别、保护、侦测、响应和恢复功能；信息安全属性：机密性、完整性和可用性等。03）可以针对不同的受众，从不同的角度按属性对控制项进行过滤、排序和呈现。对ISO/IEC27001:2013的影响L2022年，是否会因IS0∕IEC27002的修订而对IS0/IEC27001作出变更？将对IS0/IEC27001进行部分修订，以更新IS0/IEC27002:2022(修订版)附件A中的控制项，并将2014年和2015年发布的2份小勘误表纳入其中。IS0/IEC27001修订后会产生什么影响？需要开展过渡评估，并根据客户的范围、地点数量、系统以及每个公司的复杂程度为每一位客户制定计划，以确保控制措施和信息安全管理体系(ISMS)符合最新标准。ISO/IEC27002的修订对正在实施信息安全管理体系(ISMS)或即将获得IS0/IEC27001认证的公司来说意味着什么？无论公司正在实施ISO27001标准或准备获得认证，确保客户能利用修订版中提供的指南，最大限度地发挥信息安全管理体系(ISMS)的作用。这一点才是最重要的。可以参考ISo27002:2022,确定并实施适合公司的控制项。IS0/IEC27000己不再是2022版的标准参考文件。相反,《IS0/IEC27002:2022》第3条中定义的术语和定义则适用。建议2022版的用户参考这些术语和定义，以方便理解文档中的控制和指南。2022版ISOIEC27001新版信息安全管理体系标准的主要变化一、标题的变化新版的标题更改为《信息安全，网络安全和隐私保护一信息安全管理系统一要求》。它与ISO/IEC27002:2022《信息安全，网络安全和隐私保护一信息安全控制》的标题一致。二、条款编号的变化ISO/IEC27001:2022中引入了新的子条款。两个子条款的顺序是互换的。三、新文本的变化ISO/IEC27001:2022中引入了新文本。4.2了解相关方的需求和期里该组织应确定：a)•…•.b)……c)这些要求中的哪些将通过信息安全管理体系来解决.备注：相关方的要求要包括法律、法规要求和合同义务.在4.2的备注中，■■可包括法律和监管要求.变为"能包括法律和监管要求二4.4信息安全管理制度该组织应建立、实施、维护并持续改进信息安全管理作系.包括所需的过程和它们之间的相互作用.按照……这些文本也包括在其他管理体系标准中，例如：ISO9001:2015,ISO22301:2019.5.1领导和承诺标准没变，只是增加了以下备注：注：本文件中提及的••活动"可广义解释为指组织存在百的的核心活动。/PS：虽然增加了新的文本，并重新安排了一些文本，但它们只是澄清了要求，并没有给标准增加新的要求。四、附录A的变化附录A的标题改为〃信息安全控制措施参考〃。另外，控制措施也进行了修订，以与IS0/IEC27002:2022保持一致。然而，与2013年版本的情况一样，只有控制的描述来自于IS0/IEC27002:2022oISO/IEC27002:2022中的其他元素,如控制的目的和属性，并没有包括在ISO/IEC27001:2022附录A中。实施ISO/IEC27001:2022的组织应参考该指导标准，以更好地理解信息安全控制。五、其他变化条款IS027001-2022 IS027001-20134.1理解组织及其环境确定这些事项是指ISO31000:2018的第5.4.1条所述的用以建立组织的外部和内部环境确定这些事项是ISo31000:2009的第5.3条所述的用以建立组织的外部和内部环境备注中对ISO31ODO的引用是根据新版的ISo31000更新的.5.1领导和承诺注："本文件中提到的・活动.可被广义地解释为指那些对组织存在的目的具有核心意义的活动."确定这些事项是ISo31000:2009的第5.3条所述的用以建立组织的外部和内部环境在ISO/IEC27001第5.1条中增加了一个新的备注.5.3组织角色、责任和权力最高管理层应确保与信息安全有关的角色的费任和权限在该组织内得到分配和沟通.最高管理层应确保与信息安全