广州2022年3月16日 /美通社/ -- 2022年2月,国际标准化组织发布更新发布了信息安全、网络安全和隐私保护-信息安全控制(ISO/IEC 27002:2022),以作为组织根据信息安全管理体系认证标准定制和实施信息安全控制措施的指南。Intertek就此给出了专业建议。
该新版标准在2013年的标准基础上,突出了多项变化:首先,增加了“网络安全、隐私保护”的相关条款,更好地契合组织对信息安全管理的新需求;第二,该标准将控制责任主体分为组织、人员、物理和技术4个维度;第三,新规对信息安全管理体系中的控制项数量进行了一系列调整,覆盖信息安全、网络安全和隐私保护等共计93个相关控制;第四,该标准在控制结构组成中增加了控制属性元素,包括控制类型、信息安全属性、网络安全概念、运营能力和安全域。
基于更新内容,Intertek信息安全专家武强表示:新版标准能够帮助组织在新的信息技术与网络环境下更好地选择信息安全管理控制措施,并且保证组织实施信息安全控制的实时性、先进性、可用性和实用性。但同时,标准的更新对企业的安全技术及安全控制提出了更高的要求。
据此,Intertek专家为企业提供以下建议:
- 新版ISO/IEC 27002:2022完整覆盖了信息安全、网络安全和隐私保护方面的控制,适用于任何有信息安全、并期望通用信息安全控制以实现最佳实践的组织。企业应在原有控制措施基础上,重点加强对隐私和网络安全的关注。
- 组织可直接依照风险评估中的风险处置想达到的效果(即目的)来选择ISO/IEC 27002:2022基于组织、人员、物理和技术4个维度的合适的控制。
- 对照新版标准的93个控制,组织可比较当前的控制实现和新版是否一致,可评估是否需要新的控制或提出修改需要,以使组织自身的信息安全管控水平和能力处于领先地位。
- 依据控制的5类属性的不同值,组织可创建满足不同于场景下的各种业务、法律法规要求和风险处置要求。这种简洁的控制结构和控制使用方式,给组织在选择信息安全控制提供了灵活性和可操作性。
- 新标准的更新变化为新环境下信息安全管理指明了方向,Intertek 强烈建议立即将新标变化纳入到组织的信息安全管理过程中,保证未来在该领域的认证会更加有效。