去年底,传出国际安全标准ISO 27002改版在即的消息,在2月15日,新版ISO 27002:2022悄悄发布,根据国际标准组织(ISO)的官方网站显示,此标准修订阶段已经迈入60.60,这也是ISO 27002推出后的第二度改版,在此之前,这套标准有最初发布的2005年版,以及后续改进的2013年版。
同时,ISO 27001的改版动向也备受关注,虽然ISO官网上未显示2022版信息,但根据BSI表示,后续新版将进行部分修订,改版时间不会太长,目前预估是今年下半就会发布。
基本上,ISO 27002是信息安全管理系统(ISMS)的实务指导文件,并作为ISO/IEC 27001国际标准附录A的详细参考信息,提供控制措施选择的具体参考。
这次ISO 27002改版计划,从2018年开始启动,直到去年草案版本发布,开始受到各界关注,毕竟距离上一版本的推出相隔8年,如今ISO 27002:2022版修订完成,正式发布。
关于新版的变化,BSI表示,首先,标准名称改为“信息安全、网络安全及隐私保护-信息安全控制措施”,以更符合现代的安全管理需求。
其次,在内容的修订上,ISO 27002:2022的修订目标,聚焦于让组织更容易采用,并确保必要控制措施不会忽略。
简单来说,新版简化控制措施架构,从原有的14条款类别,重新调整为4大类别,分别是组织控制、人员控制、实体控制与技术控制,而整体控件目则从114个减到93个,借此强化安全管控有效性,并将不适合当前环境的内容删除,其中更新58个控件目,并将多个控件目并为24个控件目,并添加11个控件目。
这些添加项目,主要是为对应当前的网络攻击手法与样态,控件目包含了威胁情报资料、云计算服务使用的安全、通信技术运营持续整备、实体安全监控、组态管理、信息删除、资料遮罩、资料外泄防护、活动查看、网站过滤与安全程序代码撰写,以确保组织能持续具有能力,控制自身的信息安全。
新版现在也增加属性标签,包括控制类型(预防、侦测与矫正)、安全特性(机密性、完整性、可用性,CIA)、网络安全概念(识别、保护、侦测、回应、恢复,NIST CSF)、执行能力,以及安全领域。让企业组织可从不同角度,快速过滤相关控制措施,以及执行排序呈现,让组织更方便找出相关控制要求。
目前看来,新版正式发布内容与草案版本大致相当,不过我们发现,在这93项控制措施中,8.22 Segregation in networks,与8.23 Web filtering,两者的顺序对调,与草案版本不同。BSI表示,其实在最终草案版本时,条文顺序就已变动。
至于各界关注的ISO 27001改版进程,BSI表示,目前获知的时间在2022年第三季到第四季,可能与后续投票进程有关,若有进展会再更新。
至于ISO 27001预估将修订的内容,主要依据ISO/IEC 27002:2022修订部分,反映于ISO/IEC 27001的附件A,也将涵盖2014年与2015年发布的2个小勘误。
由于ISO 27002:2022已经发布,新版ISO 27001也预期会在今年修订完成,对于已取得ISO 27001验证的企业组织而言,除了可准备转版认证审查,确保企业验证范围的控制措施与信息安全管理系统符合新版的标准,也应朝向全公司验证范围目标迈进;而正在导入实施ISMS或进行ISO/IEC 27001验证的企业,现在也可选择参考ISO/IEC 27002:2022。
BSI表示,由于每个标准改版的幅度不同,根据以往经验,新标准正式公布后,企业组织都会有2到3年的时间来进行改版;若组织能力与预算可行,先以新版ISO 27002:2022的指引来着手接下来的安全工作,是可以这么做。
关于ISO 27001的相关消息,后续我们在ISO官方网站找到相关信息,目前ISO 27001:2013版已有增修1草案(DAMD 1),目前进度是2022年2月3日的40.20阶段,目前正进行草案(DIS)版本投票。