ISO 27002【实践指南】 -2022新标准

目录

ISO 27001 :2013 中文版咨询服务

一、发展背景

二、新版变化及控制措施

ISO 27002：2022的重要变化

  ISO 27002:2022 —— 控制域（主题）和控制的新结构

ISO 27002:2022 - Control Layout 控制布局

ISO 27002:2022 - 5 组织控制 - 新的控制项

三、带来的影响

---

ISO 27001 :2013 中文版咨询服务 ISO 27002【实践指南】 -2022新标准内容： 一、发展背景 欧盟发布的智能网联汽车 UNR155 UNR156 2021.01.01生效，ISO/IEC 21434 2021 Q2发布美国商务部2021.1.19发布《确保信息和通信技术及服务供应链安全》规则美国白宫2021.2.24发布《关于美国供应链的行政令》。。。2021年6月10日，第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》2021年8月20日，第十三届全国人民代表大会常务委员会第三十次会议通过《中华人民共和国个人信息保护法》。。。全球网络安全政策法律发展

网络主权、安全与竞争博弈、供应链安全、网络安全管理与建设、关键信息基础设施保护、网络攻击治理、数据安全与发展、网络内容治理、个人信息保护、网络犯罪打击与防治、新技术新应用安全

标准介绍

ISO/IEC 27001：

信息技术 安全技术 信息安全管理体系 要求

BS 7799-2 1998 发布BS 7799-2:1999 更新（重新发布）BS 7799-2:2002 改版发布ISO/IEC 27001:2005 (2005年10月发布)ISO/IEC 27001:2013 (2013年10月发布)

ISO/IEC 27002：

信息技术 安全技术 信息安全控制实践指南

BS 7799-1 1995 发布BS 7799-1:1999 更新发布BS 7799-2:2002 改版发布ISO/IEC 17799-1:2000 (被列为国际标准)ISO/IEC 27002:2013 (2013年10月发布)ISO/IEC 27002:2021年DIS (Draft International Standard)ISO/IEC 27002:2022 (2022年2月15日发布)《信息安全，网络安全和隐私保护-信息安全控制》

ISO 27001与ISO 27002 的相互关系

27001 ISMS要求 （一般性要求）至  27002 实践指南 （一般性指南）

二、新版变化及控制措施

新版本标准体现了同其他信息安全标准的相关性

融合云计算标准 ISO 27017融合网络空间安全标准 ISO 27032融入一些事故事件处理流程 ISO 27035融入一些隐私管理体系 ISO 27701其他控制模型的相关性：NIST CSF/COBIT 2019 ISO 27002：2022的重要变化

新版本带来的重要变化：控制章节的组织方式重大改革

标准名称更改

标准不再被称为“Code of Practice”,标准的新标题为“信息安全、网络安全和隐私保护-信息安全控制”。

 结构调整

全文共有8个章节，2个附录。原A5-A18章节将被第4个章节取代，第5-8章：组织控制、人员控制、物理控制、技术控制 附录：使用属性、与ISO/IEC 27002：2013的对应关系

控制项数量调整

 新版本列举的控制项数量从114个（2013版）减少到93个（2022版），新增11个控制项，合并部分控制措施，删除了一些原有控制措施

 新版本带来的其他变化：

合并新术语和定义控制域和控制重新划分控制的新属性结构：5大类

 ISO 27002:2022 —— 纳入新的术语和定义

共定义 38 个术语：
1、通用术语 ： 在ISO 27000中定义的，如访问控制、验证、真实性、攻击，实体、信息处理设施、信息安全事态、信息安全时间、信息安全事件管理、信息系统、利益相关方、不可抵赖、方针、程序、过程、记录、可靠性、威胁和脆弱性等。

2、新的术语：保管链、机密信息、扰乱（ISO 22301）、终端、信息安全漏洞，个人身份识别信息（PII,ISO 29100），PII主体、PII处理者，个人信息影响评估（PIA,ISO 29134），恢复点目标 RPO（ISO 27031），恢复时间目标RTO （ISO 27031），用户敏感信息、特定主题的策略topic-specific policy 规则 rule等

新的术语，旨在网络安全、电子证据管理、知识产品和隐私管理、事件管理以及业务连续性管理等方面建立更广泛的范围

  ISO 27002:2022 —— 控制域（主题）和控制的新结构

条款	控制领域	控制	新增	合并	更名
5	Organizational controls 组织控制	37	3（5.7/5.23/5.30）	11(5.8/5.9/5.10/5.14/5.15/5.17 /5.18/5.22/5.29/5.31/5.36)	15
6	People controls 人员控制	8	0	1(6.8)	3
7	Physical controls 物理控制	14	1（7.4）	2（7.2/7.10）	3
8	Technological controls 技术控制	34	7（8.9/8.10/8.11/8.12/8. 16/8.22/8.28）	9(8.1/8.8/8.15/8.19/8.24/8.26/8.29/8.31)	13
	共计	93	11	23	34
	移除11.2.5资产的移动（2013版）

ISO 27002:2022 - Control Layout 控制布局

每个控制的布局包含以下内容：

- 控制标题：控制的简称；

- 属性表：表格显示给定控制的每个属性的值；

- 控制：控制的描述；

- 目的：为什么实施控制；

- 指导：应该如何实施控制；

- 其他信息：解释性文字或其他相关文件的引用。

2013年版中每个域都设置了一系列的控制目标objective (35目标)，信息安全控制（114控制），新版没有控制目标的定义（已删除），变更为“目的”，总共定义了新的93个控制，以及93个purpose的目的。

ISO 27002：2022 - 控制的新属性结构

新版每个控制五个属性，可以针对不同的受众，从不同的角度按属性对控制项进行过滤、排序和呈现。属性的描述如下：

属性	属性值
控制类型	预防、检测和纠正
信息安全属性	机密性、完整性和可用性
网络安全概念	识别、保护、检测、响应和恢复
运营能力	治理、资产管理、信息保护、人力资源安全、物理安全、应用程序安全、安全配置、身份和访问管理、威胁和漏洞管理、系统和网络安全、连续性、供应商关系安全、法律和合规性、信息安全事件管理和信息安全保障
安全领域	治理和生态系统、保护、防御和恢复能力（或称“d性”）

 这些属性可根据具体控制情况分析其属性：

控制类型：可帮助加强组织内部控制，比如用预防、检测和纠正控制来确定管理高风险；信息安全属性：对于属性的理解将帮助管理具有类型特征的属性，属性的聚合视图能更加高效管理控制，以识别潜在风险网络安全概念：用以实现NIST CSF，促进围绕模型的主要功能进行对齐；运营能力：与ISO27002:2013有关的重组，是一种分类建立管制责任在一个地区或群体使用这个属性；安全域：定义网络安全管理高层，主要适用于大型组织

属性定义的意义：

      新标准的重要规则定义，为组织管理信息安全控制、网络安全和隐私保护提供了相关信息，组织可用于发展各种机制来进行控制管理，并加强内部控制、风险控制评估、分配职责、审计等。

ISO 27002:2022 - 5 组织控制 - 新的控制项

 威胁情报

控制类型	信息安全属性	网络安全概念	运营能力	安全域
预防性 检测性 纠正性	机密性 完整性 可用性	保护 检测 响应	威胁和脆弱管理	防御 恢复力

控制

应收集和分析与信息安全威胁有关的信息，以生成威胁情报。

目的

 提供对组织威胁环境的认识，以便采取适当的缓解措施。

使用云服务的信息安全

控制类型	信息安全属性	网络安全概念	运营能力	安全域
预防性	机密性 完整性 可用性	保护	供应商关系安全	治理和生态系统 保护

控制

应根据组织的信息安全要求建立获取、使用、管理和退出云服务的流程

目的

 为使用云服务指定和管理信息安全

ICT  信息通信技术为业务连续性做好准备

控制类型	信息安全属性	网络安全概念	运营能力	安全域
纠正性	可用性	响应	连续性	恢复力

控制

应根据业务连续性目标和ICT连续性要求来规划、实施、维护和测试ICT准备情况

目的

 确保中断期间组织信息和其他相关资产的可用性

7.4 物理安全监控 

控制类型	信息安全属性	网络安全概念	运营能力	安全域
预防性 检测性	可用性 机密性 完整性	保护 检测	物理安全	保护 防御

控制

应持续监控场所是否存在未经授权的物理访问

目的

 检测和阻止未经授权的物理访问

8.10 信息删除

控制类型	信息安全属性	网络安全概念	运营能力	安全域
预防性	机密性	保护	信息保护 法律和法规遵从性	保护

控制

当不需要时，应该删除存储在信息系统、设备或任何其他存储介质中的信息

目的

防止不必要的敏感信息暴露，并遵守有关信息删除的法律、法规、监管和合同要求

8.11 数据屏蔽

控制类型	信息安全属性	网络安全概念	运营能力	安全域
预防性	机密性	保护	信息保护	保护

控制

数据屏蔽应根据组织的特定于主题的访问控制策略和其他相关的特定于主题的策略，以及业务需求来使用，并考虑到适用的法规。

目的

限制敏感数据（包括PII）的暴露，并遵守法律、法定、监管和合同要求。

8.12 防止数据泄露

控制类型	信息安全属性	网络安全概念	运营能力	安全域
预防性 检测性	机密性	保护 检测	信息保护	保护 防御

控制

对于处理、存储或传输敏感信息的系统、网络和其他设备，应采取数据防泄露的措施。

目的

检测和防止个人或系统未经授权披露和提取信息

8.16 活动监控

控制类型	信息安全属性	网络安全概念	运营能力	安全域
纠正性 检测性	机密性 完整性 可用性	响应 检测	事件管理和信息安全保障	防御

控制

应监控网络、系统和应用程序的异常行为，并采取适当措施评估潜在的信息安全事件

目的

检测异常行为和潜在的信息安全事件

8.23 网页过滤

控制类型	信息安全属性	网络安全概念	运营能力	安全域
预防性	机密性 完整性 可用性	保护	系统和网络安全	保护

控制

应管理对外部网站的访问，以减少对恶意内容的暴露

目的

保护系统免受恶意软件的破坏并防止访问未授权的网络资源

8.28 安全编码

控制类型	信息安全属性	网络安全概念	运营能力	安全域
预防性	机密性 完整性 可用性	保护	应用程序安全 系统和网络安全	保护

控制

安全编码原则应用于软件开发

目的

确保软件编写安全，从而减少软件中潜在信息安全漏洞的数量

三、带来的影响

对实施ISO 27001组织的影响

企业如何做：

建立新标准与ISO 27002:2013之间的映射表；

重新执行风险评估和控制差距分析；

了解特定的属性；

       理解为什么需要组织特定属性；

       例如，如果一个组织已经基于事态制定了其风险处理计划，他可能希望将风险情景属性与本文件中的每个控制关联起来。

        这种属性的好处是加快了与风险处置相关的ISO/IEC 27001:2013,6.1.3c)的实现过程，即将通过风险处置过程确定的控制措施（称为“必要” 控制措施）与本文件的内容一致，旨在确保没有忽略任何必要的限制

通过为每个事件/潜在影响（事态）分配标识来完成（E1,E2。。。E9）

将该文件中控制标识符合控制名称复制到电子表格或数据库中，并将属性值与每个控制进行关联，记住每个控制有多个属性值。

组织属性的其他示例包括：成熟度、实施状态、优先级、涉及的组织领域等对电子表格进行排序或查询数据库以提取所需信息（可接受风险水平、风险处置计划）

更新适用性声明；

对正在实施ISMS 或即将获得ISO/IEC 27001认证的公司的影响

通常情况下，获证组织有两年时间过渡期来修改其管理体系以符合ISO 27001新标准的要求，具体取决于认证在当前认证周期中的位置。因此会有足够的时间进行必要的更新。无论通过将ISO 27002 作为直接实施还是作为其他控制的参与，都可以避免ISO27001新版本发布后面临的更大风险。新版本的内容将影响组织的适用性声明、风险评估结果以及适用的控制措施的选择。