#27002: Bản sửa đổi mới của tiêu chuẩn với cấu trúc được sắp xếp hợp lý, nội dung mới và lập chỉ mục hiện đại. Trong quý 1 năm 2022, bản cập nhật ISO/IEC 27002 đã được phát hành như một dấu hiệu cho việc sửa đổi ISO/IEC 27001 dự kiến vào quý 4 năm 2022. Đọc tại đây những gì thay đổi với ISO 27002:2022 mới - và điều này có ý nghĩa gì đối với việc sửa đổi tiêu chuẩn ISO 27001:2022.

Loading...

ISO 27002 và ISO 27001

ISO 27002 xác định một danh mục rộng rãi các biện pháp bảo mật chung nhằm hỗ trợ các công ty thực hiện các yêu cầu từ Phụ lục A của ISO 27001 - và đã trở thành hướng dẫn tiêu chuẩn thực tế trong nhiều bộ phận CNTT và bảo mật như một công cụ được công nhận. Vào đầu năm 2022, ISO 27002 đã được sửa đổi và cập nhật toàn diện - một bước đi quá hạn theo ý kiến của nhiều chuyên gia khi xét đến sự phát triển năng động của CNTT trong những năm gần đây và biết rằng các tiêu chuẩn được xem xét cập nhật 5 năm một lần.

Đối với các công ty có chứng chỉ ISO 27001 - hoặc các công ty muốn đạt được chứng chỉ trong tương lai gần - những đổi mới hiện đã được giới thiệu có liên quan ở hai khía cạnh: Thứ nhất, liên quan đến các cập nhật cần thiết cho các biện pháp bảo mật của riêng họ; Thứ hai, vì những thay đổi này sẽ có tác động đến bản cập nhật ISO 27001 dự kiến vào cuối năm và do đó sẽ có liên quan cho tất cả các chứng nhận và tái chứng nhận trong tương lai. Do đó, có đủ lý do để xem xét kỹ hơn về tiêu chuẩn ISO 27002 mới.

Lưu ý: ISO / IEC 27002: 2022 Bảo mật thông tin, an ninh mạng và bảo vệ quyền riêng tư - Kiểm soát an toàn thông tin. Tiêu chuẩn hiện chỉ được xuất bản bằng tiếng Anh và có thể xem tại website ISO.

Cấu trúc mới và chủ đề mới

Thay đổi rõ ràng đầu tiên trong ISO 27002: 2022 là cấu trúc được cập nhật và hợp lý hóa đáng kể của tiêu chuẩn: thay vì 114 biện pháp an ninh (kiểm soát) trước đây trong 14 phần, bộ tham chiếu của phiên bản cập nhật ISO 27002 hiện bao gồm 93 kiểm soát, được phân chia rõ ràng và tóm tắt trong 4 lĩnh vực chủ đề:

  • 37 biện pháp bảo mật trong phần "Kiểm soát của tổ chức"
  • 8 biện pháp an ninh trong khu vực "Kiểm soát con người"
  • 14 biện pháp an ninh trong lĩnh vực "Kiểm soát vật lý"
  • 34 biện pháp an ninh trong lĩnh vực "Kiểm soát công nghệ"

Mặc dù số lượng các biện pháp bảo mật giảm, chỉ có quyền kiểm soát "Loại bỏ tài sản" thực sự bị xóa. Việc hợp lý hóa là do 24 biện pháp an ninh từ các biện pháp kiểm soát hiện có đã được kết hợp và tái cấu trúc để đáp ứng các mục tiêu bảo vệ một cách tập trung hơn. 58 biện pháp an ninh khác đã được sửa đổi và điều chỉnh để đáp ứng các yêu cầu đương thời.

Phiên bản mới của ISO 27002 cung cấp cho các nhà quản lý an ninh thông tin một cái nhìn chính xác về những thay đổi sẽ trở thành tiêu chuẩn chứng nhận mới với phiên bản mới của ISO 27001.

Markus Jegelka Chuyên gia & Đánh giá viên DQS về Bảo mật Thông tin

Các biện pháp an ninh mới

Hơn nữa - và đây có lẽ là phần thú vị nhất của bản cập nhật - ISO 27002 đã được mở rộng bằng 11 biện pháp bảo mật bổ sung trong phiên bản mới. Không có biện pháp nào trong số này sẽ gây ngạc nhiên cho các chuyên gia bảo mật, nhưng khi được thực hiện cùng nhau, chúng sẽ gửi một tín hiệu mạnh mẽ và giúp các công ty trang bị cơ cấu tổ chức và kiến trúc bảo mật của họ trước các tình huống đe dọa hiện tại và tương lai một cách kịp thời.

Các biện pháp mới là:

Thông tin tình báo về các mối đe dọa

Việc nắm bắt, củng cố và phân tích thông tin tình báo về mối đe dọa hiện tại cho phép các tổ chức luôn cập nhật trong một môi trường mối đe dọa ngày càng tiến hóa và khó lường hơn. Trong tương lai, phân tích dựa trên bằng chứng về thông tin cuộc tấn công sẽ đóng một vai trò quan trọng trong an ninh thông tin để phát triển các chiến lược phòng thủ tốt nhất có thể.

Bảo mật thông tin cho việc sử dụng các dịch vụ đám mây

Nhiều tổ chức ngày nay dựa vào các dịch vụ đám mây. Cùng với đó là các hướng tấn công mới và các thay đổi kèm theo và các phạm vi tấn công lớn hơn đáng kể. Trong tương lai, các công ty sẽ phải xem xét các biện pháp bảo vệ thích hợp cho việc giới thiệu, sử dụng, quản lý và ràng buộc chúng trong các quy tắc hợp đồng với các nhà cung cấp dịch vụ đám mây.

Sự sẵn sàng của CNTT-TT cho sự liên tục của doanh nghiệp

Sự sẵn có của công nghệ thông tin và truyền thông (ICT) và cơ sở hạ tầng của nó là điều cần thiết cho các hoạt động kinh doanh đang diễn ra trong các công ty. Cơ sở cho các tổ chức có khả năng phục hồi là các mục tiêu liên tục trong kinh doanh đã được hoạch định và các yêu cầu về tính liên tục của CNTT-TT được bắt nguồn, thực hiện và xác minh từ các mục tiêu đó. Các yêu cầu về phục hồi kịp thời, kỹ thuật của CNTT-TT sau sự cố thiết lập các khái niệm kinh doanh liên tục khả thi.

Giám sát an ninh vật lý

Các vụ đột nhập trong đó dữ liệu nhạy cảm hoặc nhà cung cấp dữ liệu bị đánh cắp khỏi công ty hoặc bị xâm phạm là một rủi ro đáng kể cho các công ty. Các hệ thống kiểm soát và giám sát kỹ thuật đã được chứng minh là có hiệu quả trong việc ngăn chặn những kẻ xâm nhập tiềm năng hoặc phát hiện sự xâm nhập của chúng ngay lập tức. Trong tương lai, đây sẽ là các thành phần tiêu chuẩn của các khái niệm bảo mật toàn diện để phát hiện và ngăn chặn truy cập vật lý trái phép.

Quản lý cấu hình

Những hệ thống được cấu hình không chính xác có thể bị kẻ tấn công lợi dụng để truy cập vào các tài nguyên quan trọng. Mặc dù trước đây không được trình bày như một tập hợp con của quản lý thay đổi, quản lý cấu hình hệ thống hiện được tập trung vào như một biện pháp bảo mật theo đúng nghĩa của nó. Nó yêu cầu các tổ chức giám sát cấu hình thích hợp của phần cứng, phần mềm, dịch vụ và mạng, đồng thời củng cố hệ thống của họ một cách thích hợp.

Xóa thông tin

Kể từ khi Quy định chung về bảo vệ dữ liệu có hiệu lực, các tổ chức phải có cơ chế thích hợp để xóa dữ liệu cá nhân theo yêu cầu và đảm bảo rằng dữ liệu đó không bị lưu giữ lâu hơn mức cần thiết. Yêu cầu này được mở rộng cho tất cả thông tin trong ISO 27002. Thông tin nhạy cảm không được lưu giữ lâu hơn mức cần thiết để tránh nguy cơ tiết lộ không mong muốn.

 

Hướng dẫn đánh giá DQS cho ISO 27001

Chuyên môn có giá trị

Hướng dẫn đánh giá của chúng tôi ISO 27001 - Phụ lục A được các chuyên gia hàng đầu tạo ra như một biện pháp hỗ trợ triển khai thực tế và lý tưởng để hiểu rõ hơn về các yêu cầu tiêu chuẩn đã chọn. Hướng dẫn này chưa đề cập đến tiêu chuẩn O 27001 sISửa đổi được xuất bản vào ngày 25 tháng 10 năm 2022.

Tải thông tin hoàn toàn miễn phí

Mặt nạ dữ liệu

Mục tiêu của biện pháp bảo mật này là bảo vệ dữ liệu nhạy cảm hoặc các phần tử dữ liệu (ví dụ: dữ liệu cá nhân) thông qua việc che giấu, giả danh hoặc ẩn danh. Khuôn khổ cho việc thực hiện thích hợp các biện pháp kỹ thuật này được cung cấp bởi các yêu cầu pháp lý, luật định, chế định và hợp đồng.

Ngăn chặn rò rỉ dữ liệu

Cần có các biện pháp bảo mật phòng ngừa để giảm thiểu nguy cơ tiết lộ và khai thác trái phép dữ liệu nhạy cảm từ hệ thống, mạng và các thiết bị khác. Các kênh tiềm ẩn để rò rỉ không kiểm soát được thông tin đã được xác định và phân loại này (ví dụ: email, truyền tệp, thiết bị di động và thiết bị lưu trữ di động) phải được theo dõi và nếu cần, được hỗ trợ về mặt kỹ thuật bằng các biện pháp phòng ngừa tích cực (ví dụ: cách ly email).

Giám sát các hoạt động

Các hệ thống giám sát sự bất thường trong mạng, hệ thống và ứng dụng hiện là một phần của danh mục tiêu chuẩn trong các bộ phận CNTT. Tương tự, yêu cầu sử dụng các hệ thống để phát hiện tấn công đã trở thành yêu cầu pháp lý và quy định hiện hành. Giám sát liên tục, tự động thu thập và đánh giá các thông số và đặc tính thích hợp từ các hoạt động CNTT đang diễn ra là điều bắt buộc trong phòng thủ mạng chủ động và sẽ tiếp tục thúc đẩy các công nghệ trong lĩnh vực này.

Lọc web

Nhiều trang web không đáng tin cậy lây nhiễm phần mềm độc hại cho khách truy cập hoặc đọc dữ liệu cá nhân của họ. Lọc URL nâng cao có thể được sử dụng để tự động lọc các trang web tiềm ẩn nguy hiểm nhằm bảo vệ người dùng cuối. Các biện pháp bảo mật và giải pháp để bảo vệ khỏi nội dung độc hại trên các trang web bên ngoài là điều cần thiết trong thế giới kinh doanh được kết nối toàn cầu.

Mã hóa an toàn

Các lỗ hổng trong mã được phát triển nội bộ hoặc các thành phần nguồn mở là một điểm tấn công nguy hiểm, cho phép tội phạm mạng dễ dàng truy cập vào dữ liệu và hệ thống quan trọng. Các hướng dẫn phát triển phần mềm cập nhật, quy trình kiểm tra tự động, quy trình phát hành thay đổi mã, quản lý kiến thức dành cho nhà phát triển, nhưng các chiến lược cập nhật và vá lỗi cũng được suy nghĩ kỹ càng làm tăng đáng kể mức độ bảo vệ.

Thuộc tính và giá trị thuộc tính

Một cải tiến khác đã được giới thiệu lần đầu tiên trong ISO 27002: 2022 để giúp các nhà quản lý an ninh điều hướng sự kết hợp rộng rãi của các biện pháp: Trong Phụ lục A của tiêu chuẩn, năm thuộc tính với các giá trị thuộc tính liên quan được lưu trữ cho mỗi thước đo.

Các thuộc tính và giá trị thuộc tính là:

Các loại điều khiển

  • Loại điều khiển là một thuộc tính cho quan điểm của các kiểm soát theo quan điểm về thời điểm và cách thức một kiểm soát thay đổi rủi ro liên quan đến việc xảy ra sự cố an toàn thông tin.
  • #phòng ngừa #điều tra #khắc phục

Thuộc tính bảo mật thông tin

  • Thuộc tính bảo mật thông tin  là một thuộc tính có thể được sử dụng để xem các biện pháp kiểm soát từ góc độ mục tiêu bảo vệ mà kiểm soát đó nhằm hỗ trợ.
  • #Bảo mật #Sự toàn vẹn #Khả dụng

Khái niệm an ninh mạng

  • Khái niệm an ninh mạng xem xét các biện pháp kiểm soát từ góc độ ánh xạ các biện pháp kiểm soát tới khuôn khổ an ninh mạng được mô tả trong ISO / IEC TS 27110.
  • # Xác định # Bảo vệ # Phát hiện # Hồi đáp # Phục hồi

Khả năng hoạt động

  • Khả năng hoạt động  xem xét các điều khiển từ góc độ khả năng bảo mật thông tin hoạt động của chúng và hỗ trợ một cái nhìn thực tế của người dùng về các điều khiển.
  • # Bảo mật ứng dụng # Quản lý tập hợp # Tính liên tục # Bảo vệ dữ liệu # Quản lý tài nguyên # Bảo mật tài nguyên con người # Quản lý vị trí và quyền truy cập # Quản lý sự kiện an toàn thông tin # Luật pháp và tuân thủ # Bảo mật vật lý # Cấu hình an toàn # Đảm bảo an toàn # Bảo mật mối quan hệ nhà cung cấp # Bảo mật hệ thống và mạng # Quản lý mối đe dọa và lỗ hổng bảo mật

Miền bảo mật

  • Miền bảo mật  là một thuộc tính có thể được sử dụng để xem các kiểm soát trong quan điểm của bốn lĩnh vực bảo mật thông tin
  • #Quản trị và Hệ sinh thái #Bảo vệ #Phòng vệ #Khả năng phục hồi

 

Các thuộc tính giá trị được đánh dấu bằng thẻ bắt đầu bằng # nhằm mục tiêu giúp các nhà quản lý bảo mật tìm đường dễ dàng hơn thông qua danh sách rộng các phép đo trong tiêu chuẩn hướng dẫn và tìm kiếm và đánh giá chúng một cách có tiêu điểm.

Những thay đổi trong ISO 27002: Kết luận

Phiên bản mới của ISO 27002 cung cấp cho các nhà quản lý an ninh thông tin cái nhìn chính xác về những thay đổi sẽ trở thành tiêu chuẩn chứng nhận mới với phiên bản mới của ISO 27001. Đồng thời, những đổi mới vẫn nằm trong khuôn khổ có thể quản lý được: Cơ cấu lại danh mục của các biện pháp làm cho tiêu chuẩn trở nên minh bạch hơn và chắc chắn là một bước đi đúng hướng do tính phức tạp ngày càng tăng và tính minh bạch ngày càng giảm của các kiến trúc bảo mật. Các biện pháp mới được đưa vào cũng sẽ không có gì ngạc nhiên đối với các chuyên gia bảo mật có kinh nghiệm và hiện đại hóa tiêu chuẩn ISO đã lỗi thời một cách đáng kể.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Chứng nhận theo tiêu chuẩn ISO 27001

Bạn cần đầu tư bao nhiêu công sức để được chứng nhận ISMS của mình theo ISO 27001? Nhận thông tin miễn phí

Chúng tôi rất mong muốn được trao đổi với bạn.

Bản cập nhật có ý nghĩa như thế nào đối với chứng nhận của bạn

ISO/IEC 27001:2022 đã được xuất bản vào ngày 25 tháng 10 năm 2022. Điều này dẫn đến thời hạn và lịch trình chuyển đổi như sau:

Sẵn sàng với chứng nhận ISO/IEC 27001:2022

  • Dự kiến từ tháng 6 hoặc tháng 7 năm 2023 (tùy thuộc vào Cơ quan Công nhận Đức (DAkkS))

Hạn cuối cho đánh giá lần đầu hoặc đánh giá cấp lại chứng chỉ theo ISO 27001:2013 cũ

  • Sau 31 tháng 10 năm 2023, DQS sẽ chỉ tiến hành đánh giá lần đầu và đánh giá cấp lại chứng chỉ theo tiêu chuẩn ISO/IEC 27001:2022

Chuyển đổi tất cả các chứng nhận đã có từ ISO/IEC 27001:2013 thành ISO/IEC 27001:2022 mới

  • Thời hạn chuyển đổi là 3 năm từ ngày 31 tháng 10 năm 2022
  • Chứng nhận được cung cấp theo ISO/IEC 27001:2013 hoặc DIN EN ISO/IEC 27001:2017 sẽ được tiếp tục sử dụng đến muộn nhất là ngày 31 tháng 10 năm 2025, hoặc bắt buộc phải được thu hồi vào ngày này.

DQS: Simply leveraging Quality

Đánh giá chứng nhận của chúng tôi cung cấp cho bạn sự rõ ràng. Cái nhìn tổng thể, trung lập từ bên ngoài về con người, quy trình, hệ thống và kết quả cho thấy hệ thống quản lý của bạn hiệu quả như thế nào, cách nó được triển khai và làm chủ. Điều quan trọng đối với chúng tôi là bạn nhận thức được cuộc đánh giá của chúng tôi không phải là một bài kiểm tra, mà là một sự bổ sung cho hệ thống quản lý của bạn.

Yêu cầu của chúng tôi luôn bắt đầu khi danh sách kiểm tra đánh giá kết thúc. Chúng tôi đặc biệt hỏi "tại sao", bởi vì chúng tôi muốn hiểu động cơ khiến bạn chọn một cách triển khai nhất định. Chúng tôi tập trung vào tiềm năng cải tiến và khuyến khích thay đổi quan điểm. Bằng cách này, bạn có thể xác định các tùy chọn hành động mà bạn có thể liên tục cải tiến hệ thống quản lý của mình.

Tác giả
André Saeckel

Giám đốc sản phẩm tại DQS về quản lý bảo mật thông tin. Là một chuyên gia tiêu chuẩn cho lĩnh vực bảo mật thông tin và danh mục bảo mật CNTT (cơ sở hạ tầng quan trọng), André Säckel chịu trách nhiệm về các tiêu chuẩn sau và tiêu chuẩn ngành cụ thể, trong số những tiêu chuẩn khác: ISO 27001, ISIS12, ISO 20000-1, KRITIS và TISAX ( an toàn thông tin trong ngành công nghiệp ô tô). Ông cũng là thành viên của nhóm công tác ISO / IEC JTC 1 / SC 27 / WG 1 với tư cách là đại biểu quốc gia của Viện Tiêu chuẩn hóa Đức DIN.

Loading...

Các bài báo và sự kiện có liên quan

Có thể bạn cũng quan tâm tới điều này

KHÓA ĐÀO TẠO ĐÁNH GIÁ VIÊN TRƯỞNG ISO/IEC 27001:2022 (CQI/IRCA certified)

Theo yêu cầu
Hà Nội & TP. Hồ Chí Minh (on-site/online) | Tiếng Việt

KHÓA ĐÀO TẠO NHẬN THỨC VÀ ĐÁNH GIÁ VIÊN NỘI BỘ ISO 27001:2022

Theo yêu cầu
Hà Nội & TP. Hồ Chí Minh (on-site/online) | Tiếng Việt