廣州2022年3月16日 /美通社/ -- 2022年2月��,國際標準化組織發(fā)布更新發(fā)布了信息安全、網絡安全和隱私保護-信息安全控制(ISO/IEC 27002:2022)����,以作為組織根據信息安全管理體系認證標準定制和實施信息安全控制措施的指南��。Intertek就此給出了專業(yè)建議。
該新版標準在2013年的標準基礎上���,突出了多項變化:首先����,增加了“網絡安全����、隱私保護”的相關條款�,更好地契合組織對信息安全管理的新需求;第二,該標準將控制責任主體分為組織��、人員����、物理和技術4個維度��;第三,新規(guī)對信息安全管理體系中的控制項數量進行了一系列調整���,覆蓋信息安全����、網絡安全和隱私保護等共計93個相關控制����;第四��,該標準在控制結構組成中增加了控制屬性元素����,包括控制類型、信息安全屬性��、網絡安全概念��、運營能力和安全域。
基于更新內容��,Intertek信息安全專家武強表示:新版標準能夠幫助組織在新的信息技術與網絡環(huán)境下更好地選擇信息安全管理控制措施,并且保證組織實施信息安全控制的實時性�����、先進性��、可用性和實用性�����。但同時�,標準的更新對企業(yè)的安全技術及安全控制提出了更高的要求。
據此����,Intertek專家為企業(yè)提供以下建議:
- 新版ISO/IEC 27002:2022完整覆蓋了信息安全、網絡安全和隱私保護方面的控制���,適用于任何有信息安全��、并期望通用信息安全控制以實現(xiàn)最佳實踐的組織��。企業(yè)應在原有控制措施基礎上�,重點加強對隱私和網絡安全的關注���。
- 組織可直接依照風險評估中的風險處置想達到的效果(即目的)來選擇ISO/IEC 27002:2022基于組織��、人員、物理和技術4個維度的合適的控制�����。
- 對照新版標準的93個控制,組織可比較當前的控制實現(xiàn)和新版是否一致��,可評估是否需要新的控制或提出修改需要�����,以使組織自身的信息安全管控水平和能力處于領先地位。
- 依據控制的5類屬性的不同值��,組織可創(chuàng)建滿足不同于場景下的各種業(yè)務��、法律法規(guī)要求和風險處置要求���。這種簡潔的控制結構和控制使用方式,給組織在選擇信息安全控制提供了靈活性和可操作性���。
- 新標準的更新變化為新環(huán)境下信息安全管理指明了方向,Intertek 強烈建議立即將新標變化納入到組織的信息安全管理過程中,保證未來在該領域的認證會更加有效����。
