解读ISO/IEC 27002:2022版标准最新变化

01什么是ISO/IEC 27002

ISO/IEC27002是一份指导性文件，作为在实施基于ISO/IEC27001的信息安全管理体系（ISMS）时选择控制措施的参考，或作为组织实施信息安全控制措施的指南。ISO/IEC27002考虑了一个组织全部的信息安全风险环境，通过选择，实施和管理安全控制措施，来实现组织的信息安全目标，适用于任何有信息安全并期望通用信息安全控制实现最佳实践的组织。

02新版ISO/IEC27002有哪些变化

标准名称和标准结构调整：

●  标准不再被称为“控制实践指南”，标准的新标题为“信息安全、网络安全和隐私保护-信息安全控制”

●  标准结构发生了变化：全文共有8个章节和两个附录。

●  合并了部分控制措施，删除了一些原有控制，并加入了11个新的控制。

控制域和控制重新划分：

新版标准中的93个控制被重新划分为 4 个域：

●  组织控制37

●  人员控制8

●  物理控制14

●  技术控制34

增加了属性描述：

新版标准对每项控制增加了一项属性描述， 这样就提供了一种标准化的方式对不同视角的控制进行排序和筛选，以满足不同群体的需求。

●  控制类型：预防性、检测性和纠正性

●  信息安全属性：机密性、完整性和可用性

●  网络安全概念：识别、保护、检测、响应和恢复

●  运营能力：治理、资产管理、信息保护、人力资源安全、物理安全、系统和网络安全、应用程序安全、安全配置、身份和访问管理、威胁和漏洞管理、连续性、供应商关系安全、法律和合规性，信息安全事件管理和信息安全保障

●  安全领域：治理和生态系统、保护、防御和恢复能力

03对ISO/IEC27001:2013的影响

Q：2022年，是否会因ISO/IEC 27002的修订而对ISO/IEC 27001作出变更？

A：将对ISO/IEC 27001进行部分修订，以更新ISO/IEC 27002:2022（修订版）附件A中的控制项，并将2014年和2015年发布的2份小勘误表纳入其中。

Q：ISO/IEC 27001修订后会产生什么影响？

A：需要开展过渡评估，并根据客户的范围、地点数量、系统以及每个公司的复杂程度为每一位客户制定计划，以确保您的控制措施和信息安全管理体系（ISMS）符合最新标准。

Q：ISO/IEC 27002的修订对正在实施信息安全管理体系（ISMS）或即将获得ISO/IEC 27001认证的公司来说意味着什么？

A：无论您的公司正在实施ISO 27001标准或准备获得认证，确保您能利用修订版中提供的指南，最大限度地发挥信息安全管理体系（ISMS）的作用。这一点才是最重要的。您可以参考ISO 27002:2022，确定并实施适合您公司的控制项。

04改版后组织需要采取什么措施

ISO/IEC 27002是ISO/IEC 27001的补充性指南，企业需要参考ISO/IEC 27002，审查其风险评估和必要的控制项，保持企业在信息安全、云安全和数据安全方面的最佳实践，并确保这些实践与新的指导意见相一致。本次修订将触发对ISO/IEC 27001的，组织需要准备好更新相应的证书。

05改版后对组织的益处

●  在建立信息安全管理体系（ISMS）的过程中，确定合适且相称的安全控制；

●  落实信息安全管理的最佳实践；

●  满足与信息安全相关的法律、法规、监管和合同要求；

●  加强风险管理，降低出现信息安全漏洞的可能性；

●  提高公司ISMS的可信度；

●  提高信息安全管理体系（ISMS）的整体稳健性和韧性，加强风险管理；