#27002:该标准的修订令人耳目一新,具有精简的结构、新的内容和现代索引。在2022年第一季度,ISO/IEC 27002的更新已经发布,作为预计在2022年第四季度修订ISO/IEC 27001的预兆。在此阅读新的ISO 27002:2022的变化 - 以及这对即将到来的ISO 27001:2022的修订意味着什么。
ISO 27002和ISO 27001
ISO 27002定义了一般安全措施的广泛目录,应支持公司实施ISO 27001附件A的要求 - 并在许多IT和安全部门建立了自己的实用标准指南,作为一个公认的工具。2022年初,ISO 27002进行了全面的修订和更新--在许多专家看来,考虑到近年来IT行业的动态发展,以及知道标准每5年进行一次更新的情况下,这是一个早该进行的步骤。
对于拥有ISO 27001证书的公司--或希望在不久的将来解决认证问题的公司--现在推出的创新措施在两个方面是相关的。首先,对其自身的安全措施进行必要的更新;其次,因为这些变化将对预计在今年年底进行的更新产生影响。 ISO 27001因此,对所有未来的认证和再认证都有影响。因此,有足够的理由来仔细研究新的ISO 27002。
新的结构和新的主题
ISO 27002:2022中第一个明显的变化是标准结构的更新和大幅精简:更新版ISO 27002的参考集不再是以前14个部分的114项安全措施(控制),而是由93项控制组成,这些控制被明确细分并概括在4个主题领域。
- 在 "组织控制 "部分的37项安全措施
- 在 "人员控制 "领域的8项安全措施
- 14项 "物理控制 "领域的安全措施
- 34项 "技术控制 "领域的安全措施
尽管安全措施的数量减少了,但实际上只有 "资产的转移 "这一控制措施被删除。精简的原因是,现有控制措施中的24项安全措施被合并和重组,以更集中的方式满足保护目标。另有58项安全措施被修订和调整,以满足当代要求。
新版的ISO 27002为信息安全管理人员提供了准确的展望,这些变化将随着新版的ISO 27001成为新的认证标准。
新的安全措施
此外--这可能是更新中最令人兴奋的部分--ISO 27002在新版本中增加了11项安全措施。这些措施对安全专家来说都不陌生,但它们共同发出了一个强烈的信号,帮助企业及时武装自己的组织结构和安全架构,应对当前和未来的威胁情况。
这些新措施是
威胁情报
捕捉、整合和分析当前的威胁情报,使组织能够在一个日益动态和不断发展的威胁环境中保持现状。在未来,基于证据的攻击信息分析将在信息安全方面发挥关键作用,以制定最佳的防御策略。
使用云服务的信息安全
今天,许多组织依赖于基于云的服务。随之而来的是新的攻击载体和伴随的变化以及明显更大的攻击面。在未来,企业必须考虑对其引进、使用、管理采取适当的保护措施,并在与云服务提供者的合同规则中使其具有约束力。
为业务连续性做好ICT准备
信息和通信技术(ICT)及其基础设施的可用性对于公司的持续业务运营至关重要。有弹性的组织的基础是计划中的业务连续性目标和由此产生、实施和验证的ICT连续性要求。在发生故障后及时对ICT进行技术性恢复的要求确立了可行的业务连续性概念。
实体安全监控
敏感数据或数据载体从公司被盗或被破坏的闯入事件对公司来说是一个重大风险。事实证明,技术控制和监控系统能有效地阻止潜在的入侵者或立即发现他们的入侵。在未来,这些将成为整体安全概念的标准组成部分,用于检测和阻止未经授权的物理访问。
配置管理
配置不正确的系统可以被攻击者滥用,以获得对关键资源的访问。虽然以前作为变更管理的一个子集没有得到充分体现,但现在系统化的配置管理作为一种安全措施本身被关注。它要求组织监测硬件、软件、服务和网络的正确配置,并适当地加固其系统。
信息删除
自《通用数据保护条例》生效以来,各组织必须建立适当的机制,根据要求删除个人数据,并确保其保留时间不超过必要时间。这一要求在ISO 27002中被扩展到所有信息。敏感信息的保留时间不应超过必要的时间,以避免不必要的披露风险。
数据屏蔽
这项安全措施的目标是通过掩蔽、假名化或匿名化来保护敏感数据或数据元素(例如,个人数据)。适当实施这些技术措施的框架由法律、法定、监管和合同要求提供。
防止数据泄漏
需要采取预防性安全措施,以减少未经授权的披露和从系统、网络和其他设备中提取敏感数据的风险。应监测这些已确定的机密信息不受控制地泄漏的潜在渠道(例如,电子邮件、文件传输、移动设备和便携式存储设备),如有必要,应通过主动预防措施(例如,电子邮件隔离)提供技术支持。
监测活动
监测网络、系统和应用程序中的异常情况的系统现在是IT部门的标准剧目的一部分。同样,使用系统进行攻击检测的要求也已被纳入当前的法律和监管要求。持续监测、自动收集和评估正在进行的IT操作中的适当参数和特征是主动网络防御的必要条件,并将继续推动这一领域的技术。
网络过滤
许多不受信任的网站用恶意软件感染访问者或读取他们的个人数据。先进的URL过滤可以用来自动过滤潜在的危险网站,以保护终端用户。保护外部网站恶意内容的安全措施和解决方案在一个全球连接的商业世界中是至关重要的。
安全编码
内部开发的代码或开放源码组件中的漏洞是一个危险的攻击点,使网络犯罪分子能够轻易获得关键数据和系统。最新的软件开发指南、自动测试程序、代码更改的发布程序、开发人员的知识管理,以及深思熟虑的补丁和更新策略,都能显著提高保护水平。
属性和属性值
在ISO 27002:2022中首次引入了另一项创新,以帮助安全管理人员驾驭广泛的措施组合。在标准的附件A中,为每个措施存储了五个属性和相关属性值。
这些属性和属性值是
控制类型
- 对IS事件的风险结果的影响
- #预防性 #侦查性 #纠正性
信息安全属性
- 对信息安全保护目标的影响
- #保密性#完整性#可用性
网络安全概念
- NIST网络安全框架中的分类
- #识别 保护 检测 反应 恢复
业务能力
- 业务能力
- #应用安全#资产管理#连续性#数据保护#治理#人力资源安全#身份和访问管理#信息安全事件管理#法律和合规#物理安全#安全配置#安全保证#供应商关系安全#系统和网络安全#威胁和漏洞管理
安全域
- NIS安全域(ENISA)。
- #治理和生态系统 #保护 #防御 #复原力
用标签标记的属性值是为了让安全管理人员更容易在标准指南中的广泛措施目录中找到自己的方向,并有针对性地搜索和评估这些措施。
ISO 27002中的变化:一个结论
新版的ISO 27002为信息安全管理人员提供了准确的展望,这些变化将随着新版的ISO 27001成为新的认证标准。同时,这些创新仍然在一个可管理的框架内。措施目录的重组使标准更加透明,考虑到安全架构的日益复杂和透明度的降低,这无疑是朝着正确方向迈出的一步。新纳入的措施对有经验的安全专家来说也不会感到惊讶,并使过时的ISO标准相当现代化。
根据ISO 27001进行认证
你需要投入多少精力才能使你的ISMS获得ISO 27001认证?免费获取信息,不承担任何义务。
我们期待着与您交谈。
更新对您的认证意味着什么
获得ISO 27001认证的公司不需要担心下一次的认证或再认证的审核。在其核心部分,熟悉的标准保持不变,而且许多新措施可能已经嵌入到公司的最佳实践中。然而,与其他任何认证一样,我们建议团队提前做好充分的计划,并为信息安全管理系统(ISMS)的审计做精心准备。没有时间压力:在标准公布后(预计在2022年第四季度),将有36个月的时间过渡到新的ISO 27001:2022。
DQS:简单地利用质量
我们的认证审核为您提供清晰的信息。从外部对人员、过程、系统和结果的整体、中立的看法,显示了您的管理系统的有效性,以及它的实施和掌握情况。对我们来说,重要的是你不要把我们的审核看作是一种测试,而是对你的管理系统的一种充实。
我们的主张总是从审计检查表的终点开始。我们特别问 "为什么",因为我们想了解导致你选择某种实施方式的动机。我们关注改进的潜力,鼓励改变观点。通过这种方式,你可以确定行动方案,从而不断改进你的管理系统。
DQS新闻
André 塞克尔
在DQS担任信息安全管理的产品经理。作为信息安全和IT安全目录(关键基础设施)领域的标准专家,André Säckel负责以下标准和行业特定标准等。ISO 27001、ISIS12、ISO 20000-1、KRITIS和TISAX(汽车行业的信息安全)。他也是ISO/IEC JTC 1/SC 27/WG 1工作组的成员,作为德国标准化研究所DIN的国家代表。