顶部Logo
客观、公正、独立、权威
顶部日期 
 
中心介绍
首页 > 新闻动态>>管理天地

解读《ISO/IEC 27001:2022信息安全-网络安全-隐私保护-信息安全管理体系要求》2
分享到:
更多
发布时间:2024-07-04 04-45

2)附录A控制项的核心变化

2022版对附录A中信息安全控制框架结构进行了重新构建,2013版的14个安全控制域合并后总结归纳为人员、物理、技术、组织四大主题,这样的分类更加简单,更加方便组织对安全控制项进行选择归类,以加强信息安全控制措施的实施。

3)新增11个安全控制项

2022版的控制项相比2013版,从114个变为93个,其中新增11个控制项,更新58个控制项,合并24个控制项。

新版增加了11个安全控制项,新增加的控制项主要集中在组织控制和技术控制两个主题:

--组织控制主题中增加了威胁情报、云服务以及业务连续性的控制点。

--技术控制主题主要是增加了关于数据安全、配置管理、信息删除、数据防泄漏、数据屏蔽、监控活动、网站过滤、安全编码等控制点。

--物理控制主题增加了物理安全监控。

总之,为了适应数字化转型以及组织面临的安全风险,2022版更强调了信息安全管理体系(ISMS)的规范性和适用性,更适应当前的信息安全发展趋势。

云计算、移动互联等技术的兴起,驱动组织的工作方式发生了很大的变化,也带来了无边界、零信任等新的技术概念。在新版标准中新增了7个技术控制的控制项,包括数据安全、云服务安全、配置管理、安全编码等管理控制。

由于外在环境与内部业务都在发生剧烈的变化,信息安全管理流程需要去适应业务的变化,管理流程应更加弹性的实施并开展监督活动。

新版标准从技术驱动、管理流程、适应业务变化等多方面带来了信息安全管理新范式。

4)新增控制措施属性

2022版还有一个重大的变化就是对控制措施增加了5个属性,分别为控制类型、信息安全属性、网络概念、运营能力和安全域。

组织可以使用属性来创建不同的视图,这些视图是从主题的不同角度来对控制措施进行不同的分类。每个控制措施都与具有相应属性值的五个属性相关联。属性可用于在不同的视图中为不同的受众筛选、排序或呈现控制。可以通过特定属性值过滤来创建视图,例如下图是纠正性的控制视图。

 

三、重大控制点变化解读

 

1)加强业务连续性管理

ICT准备是业务连续性管理和信息安全管理的一个重要组成部分,以确保在中断期间能够继续实现组织的业务连续性目标。在业务连续性规划方面,应根据正常运行情况下可能出现的中断事件类型来调整信息安全要求。在执行业务影响分析和风险评估时,应考虑维护可用性的需求,还应考虑失去信息机密性和完整性的后果并确定其优先级。

2)加强云服务的信息安全管理

随着信息技术的飞速发展,云计算技术也日新月异,在为企业提供了计算、存储、网络等多种信息服务的同时,云服务也带来了一系列安全风险。

2022版针对云服务使用方面,要求组织应根据自身信息安全要求建立获取、使用、管理和退出云服务的流程。云服务的使用涉及云服务提供商和客户在信息安全和分工协作方面的共同责任,云服务提供商和客户各自的责任须得到适当的定义和落实。

建立云服务选择标准和使用范围,对于所有云服务,云服务客户应审查与云服务提供商签订的协议。云服务协议应阐述组织的机密性、完整性、可用性和信息处理要求,并明确适当的云服务级别目标和质量目标。云服务客户还应该进行适当的风险评估,以确定使用云服务的相关风险。云服务客户的管理人员应清楚地识别和接受任何与云服务使用相关的残余风险

加强云服务供应链的信息安全管理,其中云服务提供商依赖于软件开发商、电信服务提供商、硬件提供商等,应定义管控流程,以管理云服务供应链相关的信息安全风险。

另外,还应关注云环境的安全配置、云上数据的备份、日志记录、云环境的时钟同步和云环境的测试等安全问题。

3)加强个人数据、隐私保护等数据安全管理

从《网络安全法》、《数据安全法》到《个人信息保护法》,国家加强了对个人信息保护及企业数据合规的监管,数据安全的保护变得越来越重要。

新版标准在个人信息、隐私数据等敏感信息方面,补充了数据存储和删除、数据屏蔽、数据防泄漏等数据全生命周期的控制措施。另外,涉及处理、存储或传输敏感信息的系统、网络和任何其他设备,应防止敏感信息的非法暴露。组织应根据自身业务需求和合规需求,通过数据遮盖来实现对敏感数据的隐藏。

 

四、新版本对企业实施ISO27001认证的影响

 

新版ISO/IEC 27001于2022年10月25日发布。转版时间为3年,现有证书需要在2025年11月前转版到新版本。转版审核可以在三年转版期的任何预定审核中进行,也可以作为特别转版期审核进行。

建议组织根据ISO/IEC27001:2022的最新框架及时开展风险评估,选择必要合适的控制措施来维护网络安全、云安全和数据安全,做好安全控制升级的计划和实施,以确保ISMS符合更新的标准,最终确保组织能有效应对目前最新的风险。

网络安全整体大的边界在不断延伸,但是边界之内的各个领域之间的边界正在被逐渐的打破与融合。2022版标准有助于企业将原有的安全、IT服务管理、业务连续性等各领域管理体系的工作进行融合,更高效的推进各个领域管理体系整合。

 

五、新华三安全咨询服务

 

新华三在网络安全领域深耕近二十年,致力于提供最完善的产品、解决方案及专业安全服务。新华三安全咨询服务,在融合惠普专业咨询团队与经验的基础上,拥有成熟的方法论、先进的工具以及经验丰富的安全咨询实施专家,具有网络安全、云安全、移动安全、应用安全、数据安全、物联安全等多个细分领域丰富的实践经验,此外新华三作为业界具备完整全线ICT产品线的一流厂家,不仅有安全方面的技术顾问,还包括网络、备份存储、容灾、应用、中间件等各个方面的专家,可以充分发挥公司服务一体化优势。

新华三致力于帮助客户建立符合自身发展需要的信息安全管理体系,保证信息安全管理体系有效落地。从整体上统筹安排各种软硬件等信息资产,保证信息安全管理工作的高效、有序和经济性。新华三在金融、企业、交通等行业都有成功实施的ISO27001认证咨询服务案例,同国内外权威认证机构保持良好的合作,可以为客户建立信息安全管理体系提供持续不断的支持。

底部媒体支持
国家认可证书查询 国家认可认证机构查询 国家认监委 国家认证认可协会 国家注册审核员考试 广东省技术监督管理局 深圳市市场监督管理局

友情链接: 国家认可认证机构查询 国家认可证书查询  国家注册审核员考试

© 2022 标普认证有限公司 版权所有