廣州2022年3月16日 /美通社/ -- 2022年2月��,國際標(biāo)準(zhǔn)化組織發(fā)布更新發(fā)布了信息安全�����、網(wǎng)絡(luò)安全和隱私保護(hù)-信息安全控制(ISO/IEC 27002:2022)���,以作為組織根據(jù)信息安全管理體系認(rèn)證標(biāo)準(zhǔn)定制和實(shí)施信息安全控制措施的指南�����。Intertek就此給出了專業(yè)建議���。
該新版標(biāo)準(zhǔn)在2013年的標(biāo)準(zhǔn)基礎(chǔ)上,突出了多項變化:首先���,增加了“網(wǎng)絡(luò)安全�����、隱私保護(hù)”的相關(guān)條款����,更好地契合組織對信息安全管理的新需求��;第二���,該標(biāo)準(zhǔn)將控制責(zé)任主體分為組織���、人員�、物理和技術(shù)4個維度�;第三,新規(guī)對信息安全管理體系中的控制項數(shù)量進(jìn)行了一系列調(diào)整���,覆蓋信息安全�����、網(wǎng)絡(luò)安全和隱私保護(hù)等共計93個相關(guān)控制����;第四�����,該標(biāo)準(zhǔn)在控制結(jié)構(gòu)組成中增加了控制屬性元素�,包括控制類型�����、信息安全屬性�、網(wǎng)絡(luò)安全概念、運(yùn)營能力和安全域。
基于更新內(nèi)容����,Intertek信息安全專家武強(qiáng)表示:新版標(biāo)準(zhǔn)能夠幫助組織在新的信息技術(shù)與網(wǎng)絡(luò)環(huán)境下更好地選擇信息安全管理控制措施,并且保證組織實(shí)施信息安全控制的實(shí)時性�����、先進(jìn)性����、可用性和實(shí)用性。但同時�����,標(biāo)準(zhǔn)的更新對企業(yè)的安全技術(shù)及安全控制提出了更高的要求��。
據(jù)此����,Intertek專家為企業(yè)提供以下建議:
- 新版ISO/IEC 27002:2022完整覆蓋了信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)方面的控制�����,適用于任何有信息安全、并期望通用信息安全控制以實(shí)現(xiàn)最佳實(shí)踐的組織��。企業(yè)應(yīng)在原有控制措施基礎(chǔ)上�����,重點(diǎn)加強(qiáng)對隱私和網(wǎng)絡(luò)安全的關(guān)注����。
- 組織可直接依照風(fēng)險評估中的風(fēng)險處置想達(dá)到的效果(即目的)來選擇ISO/IEC 27002:2022基于組織、人員��、物理和技術(shù)4個維度的合適的控制��。
- 對照新版標(biāo)準(zhǔn)的93個控制����,組織可比較當(dāng)前的控制實(shí)現(xiàn)和新版是否一致,可評估是否需要新的控制或提出修改需要�,以使組織自身的信息安全管控水平和能力處于領(lǐng)先地位����。
- 依據(jù)控制的5類屬性的不同值,組織可創(chuàng)建滿足不同于場景下的各種業(yè)務(wù)����、法律法規(guī)要求和風(fēng)險處置要求�����。這種簡潔的控制結(jié)構(gòu)和控制使用方式�����,給組織在選擇信息安全控制提供了靈活性和可操作性�。
- 新標(biāo)準(zhǔn)的更新變化為新環(huán)境下信息安全管理指明了方向�����,Intertek 強(qiáng)烈建議立即將新標(biāo)變化納入到組織的信息安全管理過程中���,保證未來在該領(lǐng)域的認(rèn)證會更加有效����。
