目前ISO/IEC27002:2013版自2018年起由ISO/IEC JTC 1/SC27修訂，新版本已于2022年2月15日正式發(fā)布。雖然部分控制項(xiàng)保持不變，但控制項(xiàng)的布局和其他控制項(xiàng)發(fā)生了重大變化。由于ISO/IEC27001的附錄A需要與ISO/IEC27002保持一致，因此ISO/IEC27001也開始了修訂，修訂版預(yù)計(jì)將于2022年第二季度發(fā)布。

ISO/IEC27002 2022版相較于2013版發(fā)生了哪些變化？

主要變化

控制項(xiàng)數(shù)量：ISO/IEC27002:2022版有93個(gè)控制項(xiàng)，ISO/IEC27002:2013版有114個(gè)控制項(xiàng)。

控制類別：相較2013版114個(gè)控制項(xiàng)劃分為35個(gè)類別， 2022版的93個(gè)控制項(xiàng)被劃分為4個(gè)類別，四個(gè)類別的控制布局可以讓組織明顯意識到高層管理人員需要制定組織的信息安全管理框架和方向，以識別和傳達(dá)不同信息對業(yè)務(wù)和組織的重要性和影響，對信息和數(shù)據(jù)的保護(hù)不應(yīng)該僅僅只是依靠技術(shù)手段。技術(shù)手段只是預(yù)防或減輕信息安全風(fēng)險(xiǎn)的補(bǔ)救措施。

新版本的控制布局可以方便管理人員在組織內(nèi)分配職責(zé)，以加強(qiáng)信息安全管理。

新控制項(xiàng)

引入11個(gè)新的控制項(xiàng)來應(yīng)對技術(shù)和工業(yè)實(shí)踐的變化。

合并控制

2022版中有24個(gè)控制項(xiàng)是合并2013版中的一些控制項(xiàng)的結(jié)果?？刂祈?xiàng)的合并使控制項(xiàng)的數(shù)量減少，使得標(biāo)準(zhǔn)更為精簡。（注意：部分合并控制項(xiàng)摘錄如下。讀者可參考ISO/IEC27002:2022的附錄B，以獲取合并控制項(xiàng)的完整列表）

屬性

除了新的控制項(xiàng)之外，2022版還為每個(gè)控制項(xiàng)引入了“屬性”。每個(gè)控制項(xiàng)都與五個(gè)具有相應(yīng)屬性值的屬性相關(guān)聯(lián)。

ISO/IEC27002:2022的附錄A展示了使用這些屬性作為創(chuàng)建控制項(xiàng)不同觀點(diǎn)的一種方法。

然而，可以肯定的是，使用這些屬性并不是強(qiáng)制性的。組織可以選擇忽略其中的一個(gè)或多個(gè)屬性，或選擇其他屬性，例如：成熟度模型。

從"目標(biāo)"到"目的"

如上所述，2013版有14個(gè)域和35個(gè)安全控制類別。在2013版中，在每個(gè)安全類別下都定義了一個(gè)控制目標(biāo)。每個(gè)安全類別包含一個(gè)或多個(gè)控制項(xiàng)，可用于實(shí)現(xiàn)預(yù)期的控制目標(biāo)。

在2022版中，“目標(biāo)”被“目的”所取代。此外，每個(gè)控制項(xiàng)都有一個(gè)目的來說明為什么應(yīng)該實(shí)施控制項(xiàng)。

其他變化

標(biāo)題

2022版的標(biāo)題被修改為《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)——信息安全控制》。刪除“業(yè)務(wù)守則”一詞，以反映該文件是通用信息安全控制的參考。

術(shù)語和定義

ISO/IEC27000已不再是2022版的標(biāo)準(zhǔn)參考文件。相反，《ISO/IEC27002:2022》第3條中定義的術(shù)語和定義則適用。建議2022版的用戶參考這些術(shù)語和定義，以方便理解文檔中的控制和指南。

結(jié)語

雖然2022版本中對這些變化的解釋和理由并沒有在JTC1/SC27之外發(fā)布，但很明顯，這些變化反映了技術(shù)的進(jìn)步和不斷發(fā)展的行業(yè)實(shí)踐。

正如介紹中提到的，ISO/IEC27001:2013的修訂版正在制定中。附錄A將被ISO/IEC27002:2022中的控制所取代。