增值的业务流程由信息和数据驱动。没有信息交流,在我们的数字经济中就没有任何东西可以发挥作用。我们的基本服务是基于关键的基础设施,其功能高度依赖于信息和数据的交换。信息安全远远延伸到我们工作和生活的现实中。因此,保护信息驱动的日常运作、关键数据和知识产权免受网络威胁,对各种规模的企业来说都是势在必行的。在这个工业化的网络攻击时代,要适应不断变化的信息安全风险,就需要采取及时和灵活的方法来建立企业的复原力。
而这正是新的ISO/IEC 27001:2022的用武之地,它注重信息安全管理的过程导向。二十多年来,ISO 27001标准一直是信息安全管理系统的既定基础,但已经老化。尽管它已经老化,但根据ISO调查,在过去的2021年,该标准能够增长,证书增加了32%。在对当代信息安全评估框架需求不断增长的背景下,新的ISO/IEC 27001:2022于2022年10月25日发布。标准有什么进展呢?
ISO 27001描述了信息安全管理系统(简称ISMS)的框架--无论公司的组织结构、规模或方向如何,都是如此。这里的关键是风险管理。不断变化的网络威胁正在不断利用公司的新的潜在漏洞,目的是攻击和破坏信息流,从而影响业务流程。这种机制对信息安全的三个基本保护目标--保密性、完整性和可用性--产生的风险必须被识别和管理。
ISO/IEC 27001:2022的更新涉及管理这些信息安全风险的最佳实践。新的ISO/IEC 27001:2022的规范性附件A中可能的信息安全控制清单与修订后的ISO/IEC 27002:2022指南中的内容相同。该实施指南已于今年2月通过,并采用了更简单的分类法和当代安全控制。随着新的ISO/IEC 27001:2022的发布,成功的ISO标准串联27001/27002及其宝贵的建议措施再次成为最先进的标准。
ISO/IEC 27001:2022-10 -信息安全、网络安全和隐私保护 - 信息安全管理系统 - 要求该标准的英文版本可在ISO主页上查阅。
新的ISO/IEC 27001:2022的另一个重大变化是,随着对所谓的协调结构的适应,早该提出的过程导向的要求被置于有效的ISMS的重点。有效的管理系统的基础是明确的过程和它们的相互作用,以及这些过程的目标导向标准,以便对它们进行控制。
在下文中,我们将对新版ISO 27001的三个变化领域进行仔细研究。
从2021年5月起,以前的高层结构(HLS)将被统一结构(HS)所取代。HS是制定新的和未来修订现有ISO管理系统标准的基本结构和模板。ISO/IEC 27001:2022是首批适应HS的管理体系标准之一。与HLS相比,HS中的各种澄清、增加以及删除,对于熟悉该标准的用户来说是相当有趣的。
然而,对于ISO/IEC 27001:2022来说,可以直接看到从HS中衍生出来的重要内容。在未来,第6.3条将要求以有计划的方式实施对ISMS的修改。这一要求是其他管理系统所熟悉的,表达了对ISMS相关变更过程已经掌握的期望。例如,从以前的ISO/IEC 27001:2013过渡到新的ISO/IEC 27001:2022,可以理解为ISMS的变更,应该以有计划的方式实施其所有影响和互动。
根据ISO标准的整体管理系统 ★有效实施风险管理过程 ★持续改善安全水平
一个非常重要的变化是在第4.4条中增加了组织的背景,要求确定ISMS中实施和维护所需的必要过程及其相互作用。这一明确的要求使ISO/IEC 27001:2022与根据HS(HLS)的其他管理系统的最佳实践方法相一致。信息安全管理体系必须建立在既定的、可追踪的流程及其相互作用的基础上。然后围绕这些流程设计和调整附件A的信息安全控制。
第8.1条的下一个相关变化也强调了流程导向的重要性,这是所有基于HS的管理系统的共同点。组织必须将流程作为其运营规划和控制的一部分来实现,以实施管理信息安全风险的措施。新的内容是,现在必须定义流程标准。流程控制必须按照这些标准来实施。
此外,在以下条款中还做了相当小的澄清和说明。
另一项澄清涉及到信息安全风险处理措施的选择,第6.1.3c)条。这些措施的定义要考虑到风险评估的结果,并与附录A的控制措施相比较。该方法保持不变。然而,以前的ISO 27001中的解释性说明提到了附件A,要求它包含一个全面的 控制目标和控制措施的清单,这一点相当令人着迷。
在新的ISO/IEC 27001:2022中,对附件A的提及可以理解为一份可能的信息安全控制清单,它更加开放,因此适用性更强。
简而言之,ISO/IEC 27001:2022的附件A仍应被视为一个整体,作为条款6.1.3 c)中强制性要求的一部分,但其中包含的一系列单独的信息安全措施可以由用户更灵活地选择、设计和扩展。ISO/IEC 27001的新版本在此强调了管理系统框架对组织特定控制措施集的开放。
ISO/IEC 27001:2022的规范性附件A中可能的信息安全(IS)控制清单与ISO/IEC 27002:2022的内容相同。一般安全控制的目录已于2022年2月公布。因此,ISO/IEC 27001:2022的附件A的变化在一段时间内是可以预见的。此前,附件A包括总共114项控制措施,这些措施可用于解决组织在14个条款中的35个控制目标下的信息安全风险。
除了新的ISO/IEC 27001:2022取消了控制目标外,附件A中的信息安全控制措施已经被修订,更新,并以一些新的控制措施进行补充和重组。
附件A原来的14个条款现在集中在以下4个主题上。
A.5 组织控制(包括37项控制)。
A.6 个人控制(包括8项控制)。
A.7 物理控制(有14项控制措施)
A.8 技术控制(包括34项控制)。
新版ISO/IEC 27001:2022的附件A现在共包括93项控制,其中以下11项是新的控制。
A.5.7 威胁情报
A.5.23 使用云服务的信息安全
A.5.30 业务连续性的ICT准备情况
A.7.4 物理安全监控
A.8.9 配置管理
A.8.10 信息的删除
A.8.11 数据屏蔽
A.8.12 防止数据泄漏
A.8.16 活动监控
A.8.23 网络过滤
A.8.28 安全编码
虽然ISO/IEC 27001:2022的附件A仅限于命名控制,但ISO/IEC 27002:2022实施指南提供了进一步的分类选项。在那里,每个控制被分配了五个属性,允许对它们有不同的看法和观点。这些属性或其属性值可用于过滤、排序或为不同的组织视图显示。
这五个属性是。
控制类型是一个属性,用于从一个措施何时以及如何改变与信息安全事件发生有关的风险的角度来看待控制。
信息安全属性是一个属性,用于从措施旨在支持什么保护目标的角度来看待控制。
网络安全概念是从它们如何映射到ISO/IEC TS 27110中描述的网络安全框架的角度来看待控制。
操作能力从其操作信息安全能力的角度考虑控制,并支持用户对措施的实际看法。
安全领域是一个属性,允许从四个信息安全领域的角度来看待控制措施。
新的和改进的ISO/IEC 27001版本已于2022年10月25日发布。这导致标准用户的过渡时间和期限如下。
过渡的最后期限是ISO标准。
根据ISO标准的整体管理系统 ★有效实施风险管理过程 ★持续改善安全水平
新的ISO/IEC 27001:2022已经出台。这标志着3年过渡期的开始。
总的来说,主要的创新有以下几点。
我们的文本和手册完全由我们的标准专家或长期的审计人员撰写。如果您对文本内容或我们对作者的服务有任何疑问,请随时向我们发送电子邮件。
Jegelka作为研究生工程师在DQS担任产品管理和认证部门的信息安全专家和审核员。他回顾了三十多年的从业经验,先是作为核设施辐射防护专家,然后是ISMS的审核员和认证机构副经理。在此职位上,他向德国认证机构DAkkS和许多客户审计展示了他的信息安全专业知识(ISO/IEC 27001),根据德国能源工业法案(EnWG)第11.1a段的IT安全目录)。
