企業(yè)發(fā)布

新版ISO 27002:2022發(fā)布 BSI助力企業(yè)全面筑牢信息安全防線

2022/3/2 14:48:37 來源：中國企業(yè)新聞網(wǎng) 評論：(0)

導(dǎo)言：ISO/IEC 27002:2022已經(jīng)完成修訂并正式發(fā)布。ISO/IEC 27002信息安全、網(wǎng)絡(luò)安全和隱私保護-信息安全控制為組織信息安全標(biāo)準(zhǔn)提供指導(dǎo)，并為信息安全管理提供最佳實踐。它考慮了一個企業(yè)獨特的信息安全風(fēng)險環(huán)境，通過關(guān)注組織的選擇、實施和管理的安全控制。適用于任何有信息安全及期望通用信息安全控制實現(xiàn)最佳實踐的組織。

　　ISO/IEC 27002:2022已經(jīng)完成修訂并正式發(fā)布。ISO/IEC 27002信息安全、網(wǎng)絡(luò)安全和隱私保護-信息安全控制為組織信息安全標(biāo)準(zhǔn)提供指導(dǎo)，并為信息安全管理提供最佳實踐。它考慮了一個企業(yè)獨特的信息安全風(fēng)險環(huán)境，通過關(guān)注組織的選擇、實施和管理的安全控制。適用于任何有信息安全及期望通用信息安全控制實現(xiàn)最佳實踐的組織。

　　國際領(lǐng)先標(biāo)準(zhǔn)、測試及認(rèn)證機構(gòu)BSI建議企業(yè)審查其風(fēng)險評估和必要的控制項，保持企業(yè)在信息安全、云安全和數(shù)據(jù)安全方面的最佳實踐，并確保這些實踐與新的指導(dǎo)意見相一致。這樣一來，企業(yè)才能更好地克服未來的風(fēng)險。另外，本次修訂將觸發(fā)對ISO 27001進行更新，企業(yè)需要準(zhǔn)備好更新相應(yīng)的證書。

　　ISO/IEC 27002:2022將如何幫助企業(yè)?

　　在建立信息安全管理體系(ISMS)的過程中，確定合適且相稱的安全控制;

　　落實信息安全管理的最佳實踐;

　　滿足與信息安全相關(guān)的法律、法規(guī)、監(jiān)管和合同要求;

　　加強風(fēng)險管理，降低出現(xiàn)信息安全漏洞的可能性;

　　提高公司ISMS的可信度;

　　提高信息安全管理體系(ISMS)的整體穩(wěn)健性和韌性，加強風(fēng)險管理;

　　促進實現(xiàn)聯(lián)合國可持續(xù)發(fā)展目標(biāo)中心：目標(biāo)9 -- 產(chǎn)業(yè)、創(chuàng)新和基礎(chǔ)設(shè)施。

　　BSI 信息安全和隱私保護認(rèn)證，助力組織全面筑牢安全防線

　　在ICT領(lǐng)域， BSI始終處信息安全標(biāo)準(zhǔn)的前沿，曾經(jīng)制定了這一領(lǐng)域的世界上首個標(biāo)準(zhǔn)BS 7799，即ISO/IEC 27001信息安全管理體系的前身。BSI從未止步于此，始終致力于解決新出現(xiàn)的問題，例如，隱私、網(wǎng)絡(luò)和云安全，這是BSI最有能力為企業(yè)提供幫助的原因所在。

　　ISO/IEC 27001、ISO/IEC 27701均是由國際標(biāo)準(zhǔn)化組織發(fā)布的國際標(biāo)準(zhǔn)，是當(dāng)前信息安全管理和隱私信息管理領(lǐng)域最權(quán)威的國際通用標(biāo)準(zhǔn)，在金融、互聯(lián)網(wǎng)、人工智能、制造、航空運輸?shù)雀鱾€行業(yè)有眾多最佳實踐。在過往的幾年，BSI與國內(nèi)多家行業(yè)知名企業(yè)，諸如華為、榮耀、Vivo、小米主流手機廠商，及阿里巴巴、京東、百度、騰訊等互聯(lián)網(wǎng)領(lǐng)導(dǎo)企業(yè)均保持深度合作。　　

　　BSI 信息、通信與技術(shù)產(chǎn)品群及整體解決方案

　　除了提供ICT領(lǐng)域的解決方案以外，作為一家擁有120年歷史的全球首家標(biāo)準(zhǔn)機構(gòu)，BSI同時還提供以國際標(biāo)準(zhǔn)為核心的多樣化解決方案。

　　ISO/IEC 27002國際標(biāo)準(zhǔn)延伸知識

　　1. ISO/IEC 27002:2022是全面修訂嗎?

　　是的，ISO/IEC 27002:2022是對標(biāo)準(zhǔn)的全面修訂。ISO/IEC 27002:2022出版后，2013版將廢止。

　　2. 修訂后的ISO/IEC 27002:2022有哪些變化?

　　修訂后的ISO/IEC 27002:2022標(biāo)準(zhǔn)調(diào)整了現(xiàn)有控制項的結(jié)構(gòu)，將列舉的安全控制項從114個減少至93個，并刪除了一些未能反映最佳實踐的控制項。在ISO/IEC 27002標(biāo)準(zhǔn)的最新版本中，新增了11個控制項，包括威脅情報、使用云端服務(wù)的信息安全以及數(shù)據(jù)泄露防護等。這樣一來，不管網(wǎng)絡(luò)攻擊的性質(zhì)如何變化，企業(yè)都能夠持續(xù)控制其信息安全。

　　3. ISO/IEC 27002新增了哪些內(nèi)容?

　　01)ISO/IEC 27002已通過審查，方便企業(yè)采用該標(biāo)準(zhǔn)。此外，ISO/IEC 27002仍舊秉持其原有目標(biāo)，確保不遺漏任何一個重要的控制項。將控制劃分為四大類別，分別為：技術(shù)控制、組織控制、人員控制和實體控制。

　　02)定義了其他控制屬性，例如：控制類型屬性：偵測、預(yù)防或矯正;網(wǎng)絡(luò)安全屬性：基于NIST網(wǎng)絡(luò)安全框架的識別、保護、偵測、響應(yīng)和恢復(fù)功能;信息安全屬性：機密性、完整性和可用性等。

　　03)可以針對不同的受眾，從不同的角度按屬性對控制項進行過濾、排序和呈現(xiàn)。

　　對ISO/IEC 27001:2013的影響

　　1. 2022年，是否會因ISO/IEC 27002的修訂而對ISO/IEC 27001作出變更?

　　將對ISO/IEC 27001進行部分修訂，以更新ISO/IEC 27002:2022(修訂版)附件A中的控制項，并將2014年和2015年發(fā)布的2份小勘誤表納入其中。

　　2. ISO/IEC 27001修訂后會產(chǎn)生什么影響?

　　需要開展過渡評估，并根據(jù)客戶的范圍、地點數(shù)量、系統(tǒng)以及每個公司的復(fù)雜程度為每一位客戶制定計劃，以確�？刂拼胧┖托畔踩芾眢w系(ISMS)符合最新標(biāo)準(zhǔn)。

　　3. ISO/IEC 27002的修訂對正在實施信息安全管理體系(ISMS)或即將獲得ISO/IEC 27001認(rèn)證的公司來說意味著什么?

　　無論公司正在實施ISO 27001標(biāo)準(zhǔn)或準(zhǔn)備獲得認(rèn)證，確�？蛻裟芾眯抻啺嬷刑峁┑闹改希畲笙薅鹊匕l(fā)揮信息安全管理體系(ISMS)的作用。這一點才是最重要的�？梢詤⒖糏SO 27002:2022，確定并實施適合公司的控制項。

免責(zé)聲明：

※ 以上所展示的信息來自媒體轉(zhuǎn)載或由企業(yè)自行提供，其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本網(wǎng)站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本網(wǎng)站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容。如果以上內(nèi)容侵犯您的版權(quán)或者非授權(quán)發(fā)布和其它問題需要同本網(wǎng)聯(lián)系的，請在30日內(nèi)進行。
※ 有關(guān)作品版權(quán)事宜請聯(lián)系中國企業(yè)新聞網(wǎng)：020-34333079 郵箱：cenn_gd@126.com 我們將在24小時內(nèi)審核并處理。

分享到：

[責(zé)任編輯：姚小冰]