信息安全技术 信息安全控制
征 求 意 见 稿
2023年3月10日,全国信息安全标准化技术委员会发布国家标准《信息安全技术 信息安全控制》征求意见稿(下称《征求意见稿》),面向社会征求意见。
《征求意见稿》适用于所有类型和规模的组织。组织在实施基于GB/T 22080信息安全管理体系的信息安全风险处置时,本文件可作为其确定和实施所需控制的参考;本文件还可作为组织在确定和实施普遍接受的信息安全控制时的指导文件。
《征求意见稿》代替GB/T 22081-2016《信息技术 安全技术 信息安全控制实践指南》,除结构调整和编辑性改动外,主要技术变化如下:
一、使用简单的分类法和相关属性来展示控制;
二、对控制进行了合并、删除,同时也增加了新的控制。
《征求意见稿》有哪些亮点?实施后又有哪些要点需要注意?跟海科融通一起了解吧~
01
《征求意见稿》的地位
ISO(国际标准化组织)和IEC(国际电工委员会)是为国际标准化制定专门体制的国际组织,ISO/IEC 27002主要是一份指导文件,可以为企业实施基于ISO/IEC 27001信息安全管理体系时提供选择控制项的参考,也可以作为组织间实施普遍接受的信息安全控制项的指南,为企业实现信息安全的目标提供指引。
02
《征求意见稿》的亮点
1、名称
将原来延用很久的“实践指南”标题改为“信息安全控制”,即将该标准定义为可以单独实现控制的集合,但在本质上仍然是为企业提供通用信息安全的控制参考。
2、篇章结构
ISO/IEC 27002:2022全文共计8章和2个附录,分别为:范围、规范性引用文件、术语定义和缩写、标准结构、组织控制、人员控制、物理控制、技术控制、附录A使用属性、附录B ISO/IEC 27002:2022与ISO/IEC 27002:2013对比。
核心的4个控制主题下共有93个控制项,组织控制有37个控制项、人员控制有8个控制项、物理控制有14个控制项、技术控制有34个控制项。新增了11个控制项来应对技术和应用的变化,包括威胁情报、使用云服务的信息安全、业务连续性的ICT准备、物理安全监控、配置管理、信息删除、数据屏蔽、数据防泄露、监控活动、网页过滤以及安全编码。每个控制项都有一个目的来说明为什么应该实施控制项。
3、属性描述
ISO/IEC 27002:2022版标准对每项控制增加了属性描述,5类属性分类与我国网络安全等级保护非常相似,分别为:
1) 控制类型:预防性、检测性和纠正性;
2) 信息安全属性:保密性、完整性和可用性;
3) 网络安全属性:识别、保护、检测、响应和恢复;
4) 运营能力:治理、资产管理、信息保护、人力资源安全、物理安全、系统和网络安全、应用程序安全、安全配置、身份和访问管理、威胁和漏洞管理、连续性、供应商关系安全、法律和合规性,信息安全事件管理和信息安全保障;
5) 安全域:治理和生态系统、保护、防御和恢复能力 。
目前,ISO/IEC 27002:2022版标准尚在征集意见中,期间,信息安全管理体系标准的认证版本仍然为27001:2013,原认证继续有效。
03
《征求意见稿》实施后要点提示
1、ISO/IEC 27002:2022覆盖了信息安全、网络安全和隐私保护方面的控制,可以在原有控制措施基础上,重点加强对隐私和网络安全的关注;
2、可直接依照风险评估中的想达到的效果(即目的)选择ISO/IEC 27002:2022基于组织、人员、物理和技术4个维度的合适的控制;
3、可对照93个控制,评估是否需要新的控制或提出修改需要,以保证自身的信息安全管控水平和能力;
4、可依据控制的5类属性,创建满足不同场景下的各种业务、法律法规要求和风险处置要求,为信息安全控制提供灵活性和可操作性;
5、为新环境下的信息安全管理指明方向,将新标纳入到信息安全管理过程以保证未来在该领域的认证更加有效。