新版ISO27002:2022完成修訂并正式發布

文章來源：美通社 編輯：華道顧問

ISO/IEC 27002:2022已經完成修訂并正式發布。ISO/IEC 27002信息安全、網絡安全和隱私保護-信息安全控制為組織信息安全標準提供指導，并為信息安全管理提供最佳實踐。它考慮了一個企業獨特的信息安全風險環境，通過關注組織的選擇、實施和管理的安全控制。適用于任何有信息安全及期望通用信息安全控制實現最佳實踐的組織。

國際領先標準、測試及認證機構BSI建議企業審查其風險評估和必要的控制項，保持企業在信息安全、云安全和數據安全方面的最佳實踐，并確保這些實踐與新的指導意見相一致。這樣一來，企業才能更好地克服未來的風險。另外，本次修訂將觸發對ISO 27001進行更新，企業需要準備好更新相應的證書。

關于ISO/IEC 27002:2022問題如下：
1.ISO/IEC 27002:2022如何幫助企業？
a.在建立信息安全管理體系（ISMS）的過程中，確定合適且相稱的安全控制；
b.落實信息安全管理的最佳實踐；
c.滿足與信息安全相關的法律、法規、監管和合同要求；
d.加強風險管理，降低出現信息安全漏洞的可能性；
e.提高公司ISMS的可信度；
f.提高信息安全管理體系（ISMS）的整體穩健性和韌性，加強風險管理；
g.促進實現聯合國可持續發展目標中心：目標9 -- 產業、創新和基礎設施。
2.ISO/IEC 27002:2022是全面修訂嗎？
是的，ISO27002:2022是對標準的全面修訂。ISO27002:2022出版后，2013版將廢止。

3.修訂后的ISO27002:2022有哪些變化？
修訂后的ISO/IEC 27002:2022標準調整了現有控制項的結構，將列舉的安全控制項從114個減少至93個，并刪除了一些未能反映最佳實踐的控制項。在ISO/IEC 27002標準的最新版本中，新增了11個控制項，包括威脅情報、使用云端服務的信息安全以及數據泄露防護等。這樣一來，不管網絡攻擊的性質如何變化，企業都能夠持續控制其信息安全。

4.ISO27002新增了哪些內容？
a.ISO27002已通過審查，方便企業采用該標準。此外，ISO27002仍舊秉持其原有目標，確保不遺漏任何一個重要的控制項。將控制劃分為四大類別，分別為：技術控制、組織控制、人員控制和實體控制。
b.定義了其他控制屬性，例如：控制類型屬性：偵測、預防或矯正；網絡安全屬性：基于NIST網絡安全框架的識別、保護、偵測、響應和恢復功能；信息安全屬性：機密性、完整性和可用性等。
c.可以針對不同的受眾，從不同的角度按屬性對控制項進行過濾、排序和呈現。

5.對ISO/IEC 27001:2013的影響
(1)2022年，是否會因ISO/IEC 27002的修訂而對ISO/IEC 27001作出變更？
將對ISO/IEC 27001進行部分修訂，以更新ISO/IEC 27002:2022（修訂版）附件A中的控制項，并將2014年和2015年發布的2份小勘誤表納入其中。
(2)ISO/IEC 27001修訂后會產生什么影響？
需要開展過渡評估，并根據客戶的范圍、地點數量、系統以及每個公司的復雜程度為每一位客戶制定計劃，以確�？刂拼胧� 和信息安全管理體系（ISMS）符合最新標準。
(3)ISO/IEC 27002的修訂對正在實施信息安全管理體系（ISMS）或即將獲得ISO/IEC 27001認證的公司來說意味著什么？
無論公司正在實施ISO 27001標準或準備獲得認證，確�？蛻裟芾�用修訂版中提供的指南，最大限度地發揮信息安全管理體系（ISMS）的作用。這一點才是最重要的�？梢詤⒖糏SO 27002:2022，確定并實施適合公司的控制項。

【返回 】