北京2022年3月2日 /美通社/ -- ISO/IEC 27002:2022已經完成修訂并正式發布����。ISO/IEC 27002信息安全、網絡安全和隱私保護-信息安全控制為組織信息安全標準提供指導,并為信息安全管理提供最佳實踐。它考慮了一個企業獨特的信息安全風險環境,通過關注組織的選擇�、實施和管理的安全控制��。適用于任何有信息安全及期望通用信息安全控制實現最佳實踐的組織。
國際領先標準��、測試及認證機構BSI建議企業審查其風險評估和必要的控制項����,保持企業在信息安全、云安全和數據安全方面的最佳實踐��,并確保這些實踐與新的指導意見相一致���。這樣一來���,企業才能更好地克服未來的風險�。另外��,本次修訂將觸發對ISO 27001進行更新��,企業需要準備好更新相應的證書。
ISO/IEC 27002:2022將如何幫助企業?
- 在建立信息安全管理體系(ISMS)的過程中,確定合適且相稱的安全控制��;
- 落實信息安全管理的最佳實踐�;
- 滿足與信息安全相關的法律、法規、監管和合同要求����;
- 加強風險管理��,降低出現信息安全漏洞的可能性;
- 提高公司ISMS的可信度����;
- 提高信息安全管理體系(ISMS)的整體穩健性和韌性�,加強風險管理��;
- 促進實現聯合國可持續發展目標中心:目標9 -- 產業�����、創新和基礎設施。
BSI 信息安全和隱私保護認證,助力組織全面筑牢安全防線
在ICT領域���, BSI始終處信息安全標準的前沿,曾經制定了這一領域的世界上首個標準BS 7799,即ISO/IEC 27001信息安全管理體系的前身����。BSI從未止步于此�����,始終致力于解決新出現的問題����,例如�����,隱私、網絡和云安全����,這是BSI最有能力為企業提供幫助的原因所在�����。
ISO/IEC 27001、ISO/IEC 27701均是由國際標準化組織發布的國際標準,是當前信息安全管理和隱私信息管理領域最權威的國際通用標準,在金融����、互聯網��、人工智能、制造、航空運輸等各個行業有眾多最佳實踐。在過往的幾年�����,BSI與國內多家行業知名企業���,諸如華為���、榮耀��、Vivo、小米主流手機廠商���,及阿里巴巴、京東�、百度��、騰訊等互聯網領導企業均保持深度合作。
BSI 信息�����、通信與技術產品群及整體解決方案
除了提供ICT領域的解決方案以外��,作為一家擁有120年歷史的全球首家標準機構�,BSI同時還提供以國際標準為核心的多樣化解決方案�����。
ISO/IEC 27002國際標準延伸知識
1. ISO/IEC 27002:2022是全面修訂嗎�����?
是的,ISO/IEC 27002:2022是對標準的全面修訂�。ISO/IEC 27002:2022出版后�����,2013版將廢止。
2. 修訂后的ISO/IEC 27002:2022有哪些變化����?
修訂后的ISO/IEC 27002:2022標準調整了現有控制項的結構�,將列舉的安全控制項從114個減少至93個�����,并刪除了一些未能反映最佳實踐的控制項。在ISO/IEC 27002標準的最新版本中,新增了11個控制項���,包括威脅情報、使用云端服務的信息安全以及數據泄露防護等。這樣一來��,不管網絡攻擊的性質如何變化��,企業都能夠持續控制其信息安全����。
3. ISO/IEC 27002新增了哪些內容?
01)ISO/IEC 27002已通過審查����,方便企業采用該標準�����。此外,ISO/IEC 27002仍舊秉持其原有目標�,確保不遺漏任何一個重要的控制項�。將控制劃分為四大類別��,分別為:技術控制��、組織控制、人員控制和實體控制����。
02)定義了其他控制屬性����,例如:控制類型屬性:偵測��、預防或矯正;網絡安全屬性:基于NIST網絡安全框架的識別��、保護��、偵測���、響應和恢復功能��;信息安全屬性:機密性、完整性和可用性等。
03)可以針對不同的受眾��,從不同的角度按屬性對控制項進行過濾����、排序和呈現。
對ISO/IEC 27001:2013的影響
1. 2022年,是否會因ISO/IEC 27002的修訂而對ISO/IEC 27001作出變更�����?
將對ISO/IEC 27001進行部分修訂��,以更新ISO/IEC 27002:2022(修訂版)附件A中的控制項�����,并將2014年和2015年發布的2份小勘誤表納入其中。
2. ISO/IEC 27001修訂后會產生什么影響����?
需要開展過渡評估�,并根據客戶的范圍�����、地點數量���、系統以及每個公司的復雜程度為每一位客戶制定計劃,以確?���?刂拼胧?/span>和信息安全管理體系(ISMS)符合最新標準�����。
3. ISO/IEC 27002的修訂對正在實施信息安全管理體系(ISMS)或即將獲得ISO/IEC 27001認證的公司來說意味著什么?
無論公司正在實施ISO 27001標準或準備獲得認證��,確保客戶能利用修訂版中提供的指南���,最大限度地發揮信息安全管理體系(ISMS)的作用����。這一點才是最重要的���。可以參考ISO 27002:2022�,確定并實施適合公司的控制項�����。
