ISO 27002 修訂版 - 以下是變更內容

ISO 27002 和 ISO 27001

ISO 27002 定義了一系列通用安全措施，旨在幫助企業實施 ISO 27001 附錄 A 的要求，並已成為眾多 IT 和安全部門公認的實用標準指南。 2022 年初，ISO 27002 進行了全面修訂和更新——考慮到近年來 IT 領域的飛速發展以及標準每五年更新一次以確保其時效性，許多專家認為此次修訂可謂姍姍來遲。

對於已獲得 ISO 27001 認證的公司，或計劃在不久的將來申請認證的公司而言，目前推出的創新在兩個方面具有重要意義：首先，需要對其自身的安全措施進行必要的更新；其次，這些變化將影響 ISO 27001 認證的更新。 ISO 27001預計將於年底發布，因此將對所有未來的認證和再認證都具有重要意義。所以，我們完全有理由仔細研究一下新的 ISO 27002 標準。

新結構和新主題

ISO 27002:2022 的第一個明顯變化是標準結構的更新和顯著簡化：以前 14 個章節包含 114 項安全措施（控制），而更新後的 ISO 27002 參考集現在包含 93 項控制，這些控制被清晰地細分並概括為 4 個主題領域：

• 「組織控制」部分包含37項安全措施。
• 「人員管控」領域的8項安全措施
• 「物理控制」領域的14項安全措施
• 「技術控制」領域的34項安全措施

儘管安全措施數量有所減少，但實際上只有「資產移除」這項控制措施被刪除。精簡的原因在於，現有控制措施中的24項安全措施被合併和重組，以更集中的方式實現保護目標。此外，還有58項安全措施經過修訂和調整，以滿足目前的要求。

新的安全措施

此外，或許最令人興奮的是，ISO 27002 新版本新增了 11 項安全措施。這些措施對安全專家來說並不意外，但它們結合起來卻能發出強烈的訊號，幫助企業及時強化其組織結構和安全架構，以應對當前和未來的威脅。

新措施包括：

威脅情報

捕獲、整合和分析當前的威脅情報，能夠幫助組織在日益動態和演變的威脅環境中保持領先地位。未來，基於證據的攻擊資訊分析將在資訊安全領域發揮關鍵作用，協助制定最佳防禦策略。

使用雲端服務的資訊安全

如今，許多組織都依賴雲端服務。隨之而來的是新的攻擊途徑、相應的變化以及顯著擴大的攻擊面。未來，企業必須考慮在雲端服務的引入、使用和管理過程中採取適當的保護措施，並將其寫入與雲端服務提供者的合約條款中。

資訊通信技術對業務連續性的準備情況

資訊通信技術（ICT）及其基礎設施的可用性對於企業的持續運營至關重要。建立具有韌性的組織的基礎是製定業務連續性目標，並根據這些目標制定、實施和驗證ICT連續性要求。在發生故障後及時恢復ICT技術的要求，構成了切實可行的業務連續性方案。

實體安全監控

敏感資料或資料載體被盜或遭到破壞的入侵事件對公司構成重大風險。技術控制和監控系統已被證明能有效阻止潛在入侵者或立即偵測到入侵行為。未來，這些將成為檢測和阻止未經授權實體存取的整體安全理念的標準組成部分。

配置管理

配置不當的系統可能被攻擊者利用，以取得關鍵資源的存取權限。雖然系統配置管理先前僅被視為變更管理的子集而未被充分重視，但如今它已被視為一項獨立的安全措施。它要求組織監控硬體、軟體、服務和網路的正確配置，並採取相應的系統加固措施。

資訊刪除

自《一般資料保護規範》(GDPR)生效以來，各組織必須建立適當的機制，以便在收到請求後刪除個人數據，並確保個人資料不會被保留超過必要的時間。此項要求同樣適用於ISO 27002標準中的所有資訊。敏感資訊的保存時間不應超過必要期限，以避免資訊外洩的風險。

數據脫敏

這項安全措施的目標是透過遮罩、假名化或匿名化來保護敏感資料或資料元素（例如個人資料）。法律、法規、規章和合約要求為這些技術措施的適當實施提供了框架。

防止資料外洩

為降低未經授權從系統、網路和其他設備洩露和提取敏感資料的風險，必須採取預防性安全措施。應監控可能導致此類已識別和分類資訊不受控制洩露的潛在管道（例如，電子郵件、文件傳輸、行動裝置和便攜式儲存設備），並在必要時透過積極的預防措施（例如，電子郵件隔離）提供技術支援。

監測活動

用於監控網路、系統和應用程式異常情況的系統如今已成為IT部門的標準配置。同樣，使用攻擊偵測系統也已被納入現行的法律法規要求。持續監控、自動收集和評估來自正在進行的IT維的相關參數和特徵，是主動網路防禦的必要條件，並將繼續推動該領域技術的發展。

網路篩選

許多不受信任的網站會向訪客植入惡意軟體或竊取其個人資料。高級URL過濾功能可以自動過濾潛在的危險網站，從而保護最終用戶。在全球互聯的商業環境中，採取安全措施和解決方案來抵禦外部網站上的惡意內容至關重要。

安全編碼

內部開發程式碼或開源元件中的漏洞是危險的攻擊點，網路犯罪分子可以利用這些漏洞輕易取得關鍵資料和系統。最新的軟體開發指南、自動化測試流程、程式碼變更發布流程、開發人員知識管理，以及週詳的修補程式和更新策略，都能顯著提高安全防護水準。

屬性和屬性值

ISO 27002:2022 首次引入了另一項創新，以幫助安全管理人員應對各種措施：在該標準的附錄 A 中，每個控制項都儲存了五個屬性及其關聯的屬性值。

屬性及其值如下：

控制類型

• 控制類型是從控制措施何時以及如何改變與資訊安全事件發生相關的風險的角度來看待控制措施的一個屬性。
• #預防 #偵測 #修正

資訊安全屬性

• 資訊安全屬性是一種屬性，可用於從控制措施旨在支援的保護目標的角度來查看控制措施。
• #保密性 #誠信 #可用性

網路安全概念

• 網路安全概念從將控制措施對應到 ISO/IEC TS 27110 中所述的網路安全框架的角度來審視控制措施。
• #識別 #保護 #檢測 #回應 #恢復

作戰能力

• 作戰能力從操作資訊安全能力的角度審視控制措施，並支持使用者對控制措施的實際看法。
• #應用安全 #資產管理 #業務連續性 #資料保護 #治理 #人力資源安全 #身份和存取管理 #資訊安全事件管理 #法律合規 #實體安全 #安全設定 #安全保障 #供應商關係安全 #系統與網路安全 #威脅與漏洞管理

安全域

• 安全域是一種可用於從四個資訊安全領域的角度查看控制措施的屬性。
• #治理與生態系統 #保育 #防禦 #韌性

帶有井號標記的屬性值旨在幫助安全管理員更輕鬆地瀏覽標準指南中的各種措施，並以有針對性的方式進行搜尋和評估。

ISO 27002 的變更：結論

新版 ISO 27002 為資訊安全管理人員清楚展現了即將與新版 ISO 27001 一同成為新認證標準的各項變更。同時，這些創新也保持在一個可控的框架內：措施目錄的重組提高了標準的透明度，鑑於安全架構日益複雜且透明度不斷降低，這無疑是朝著正確方向邁出的一步。對於經驗豐富的安全專家而言，新增的措施也並不令人意外，並且顯著地更新了略顯過時的 ISO 標準。

此次更新對您的認證意味著什麼

ISO/IEC 27001:2022 標準於 2022 年 10 月 25 日發布。因此，使用者需要遵守以下過渡期限和時間安排：

根據「舊版」ISO 27001:2013標準，首次/重新認證審核的最後日期

• 自2024年4月30日起，DQS將僅依據新標準ISO/IEC 27001:2022進行初審和再認證審核。

所有現有證書均依照「舊」ISO/IEC 27001:2013標準過渡到新的ISO/IEC 27001:2022標準。

• 自2022年10月31日起，設有3年的過渡期。
• 根據 ISO/IEC 27001:2013 或 DIN EN ISO/IEC 27001:2017 頒發的憑證最遲有效期至 2025 年 10 月 31 日，否則必須在此日期撤銷。

DQS：簡單利用品質

我們的認證審核能讓您更清楚地了解狀況。從外部視角出發，我們以全面、中立的視角審視人員、流程、系統和結果，從而展現您管理系統的有效性、實施情況和掌握程度。我們希望您將我們的審核視為對您管理系統的提升，而非一次考試。

我們的工作總是從審核清單結束的地方開始。我們會特別追問“為什麼”，因為我們希望了解您選擇某種實施方案的動機。我們專注於改進的潛力，並鼓勵您轉變視角。這樣，您就能找到可行的行動方案，從而持續改善您的管理系統。