目前ISO/IEC27002:2013版自2018年起由ISO/IEC JTC 1/SC27修訂，新版本已于2022年2月15日正式發(fā)布。雖然部分控制項保持不變，但控制項的布局和其他控制項發(fā)生了重大變化。由于ISO/IEC 27001的附錄A需要與ISO/IEC27002保持一致，因此ISO/IEC27001也開始了修訂。

?ISO（國際標準化組織）和IEC（國際電工委員會）是為國際標準化制定專門體制的國際組織，ISO/IEC27002是一份指導(dǎo)文件，旨在用于實施基于ISO/IEC27001信息安全管理體系(ISMS)時，選擇控制項的參考，或作為組織實施普遍接受的信息安全控制項的指南。

ISO/IEC27002:2022版相較于ISO/IEC27002:2013版發(fā)生了哪些變化？SGS為您一一解讀。

?

ISO/IEC27002主要變化

控制項數(shù)量

ISO/IEC27002:2022版有93個控制項，ISO/IEC27002:2013版有114個控制項。

?

控制類別

相較ISO/IEC27002:2013版114個控制項劃分為35個類別，ISO/IEC27002:2022版的93個控制項被劃分為4個類別，四個類別的控制布局可以讓組織明顯意識到高層管理人員需要制定組織的信息安全管理框架和方向，以識別和傳達不同信息對業(yè)務(wù)和組織的重要性和影響，對信息和數(shù)據(jù)的保護不應(yīng)該僅僅只是依靠技術(shù)手段。技術(shù)手段只是預(yù)防或減輕信息安全風(fēng)險的補救措施。

新版本的控制布局可以方便管理人員在組織內(nèi)分配職責(zé)，以加強信息安全管理。

新控制項

引入11個新的控制項來應(yīng)對技術(shù)和工業(yè)實踐的變化。

合并控制

2022版中有24個控制項是合并2013版中的一些控制項的結(jié)果。控制項的合并使控制項的數(shù)量減少，使得標準更為精簡。

?

（注意：部分合并控制項摘錄如下。讀者可參考ISO/IEC27002:2022的附錄B，以獲取合并控制項的完整列表。）

屬性

除了新的控制項之外，ISO/IEC27002:2022版還為每個控制項引入了“屬性”。每個控制項都與五個具有相應(yīng)屬性值的屬性相關(guān)聯(lián)。

ISO/IEC27002:2022的附錄A展示了使用這些屬性作為創(chuàng)建控制項不同觀點的一種方法。

?

然而，可以肯定的是，使用這些屬性并不是強制性的。組織可以選擇忽略其中的一個或多個屬性，或選擇其他屬性，例如：成熟度模型。

?

從“目標”到“目的”

如上所述，ISO/IEC27002:2013版有14個域和35個安全控制類別。在2013版中，在每個安全類別下都定義了一個控制目標。每個安全類別包含一個或多個控制項，可用于實現(xiàn)預(yù)期的控制目標。

?

在ISO/IEC27002:2022版中，“目標”被“目的”所取代。此外，每個控制項都有一個目的來說明為什么應(yīng)該實施控制項。

?

ISO/IEC27002其他變化

標題

ISO/IEC27002:2022版的標題被修改為《信息安全、網(wǎng)絡(luò)安全和隱私保護——信息安全控制》。刪除“業(yè)務(wù)守則”一詞，以反映該文件是通用信息安全控制的參考。

?

術(shù)語和定義

ISO/IEC27000已不再是2022版的標準參考文件。相反，《ISO/IEC27002:2022》第3條中定義的術(shù)語和定義則適用。建議2022版的用戶參考這些術(shù)語和定義，以方便理解文檔中的控制和指南。

?

結(jié)語

雖然ISO/IEC27002:2022版本中對這些變化的解釋和理由并沒有在JTC1/SC27之外發(fā)布，但很明顯，這些變化反映了技術(shù)的進步和不斷發(fā)展的行業(yè)實踐。

?

正如介紹中提到的，ISO/IEC27001:2013的修訂版正在制定中。附錄A將被ISO/IEC27002:2022中的控制所取代。SGS將隨時關(guān)注變化，并在新版ISO/IEC27001發(fā)布后，讓我們的客戶和認證實體及時了解新版轉(zhuǎn)換計劃。

?

SGS在信息與通訊技術(shù)（ICT）領(lǐng)域深耕多年，為諸多知名企業(yè)提供信息安全、隱私安全管理等技術(shù)支持，致力于為各行業(yè)機構(gòu)提供全方位管理提升服務(wù)，為企業(yè)信創(chuàng)保駕護航。