ISO/IEC 27001:2022中的规范性变化
一个非常重要的变化是在第4.4条中增加了组织的背景,要求确定ISMS中实施和维护所需的必要过程及其相互作用。这一明确的要求使ISO/IEC 27001:2022与根据HS(HLS)的其他管理系统的最佳实践方法相一致。信息安全管理体系必须建立在既定的、可追踪的流程及其相互作用的基础上。然后围绕这些流程设计和调整附件A的信息安全控制。
第8.1条的下一个相关变化也强调了流程导向的重要性,这是所有基于HS的管理系统的共同点。组织必须将流程作为其运营规划和控制的一部分来实现,以实施管理信息安全风险的措施。新的内容是,现在必须定义流程标准。流程控制必须按照这些标准来实施。
此外,在以下条款中还做了相当小的澄清和说明。
- 对第5.3条进行了补充,明确要求在组织内公布与信息安全有关的角色的责任和权限。
- 第7.4条规定了有关ISMS的内部和外部沟通的需要。除了仍然适用的关于 "什么"、"何时 "和 "与谁 "的规定外,沟通的方式是对以前要求的一种可行的简化。
- 第9.2条内部审计和第9.3条管理评审已经根据统一结构进行了调整。第9.2条现在被细分为9.2.1和9.2.2,第9.3条被分为三个子条款9.3.1、9.3.2和9.3.3。
- 第10.1条和第10.2条的结构顺序已经根据统一结构进行了调整。在第10.1条中,前瞻性的持续改进方面现在先于第10.2条中的不合格品和纠正措施的回顾性处理,在内容上没有任何进一步的变化。这一调整强调了持续改进过程(CIP)的重要性。
ISO/IEC 27001中参考附件A中控制措施的关键和明确的要求是,根据第6.1.3 c)条,组织特定的信息安全控制措施与附件A中的控制措施之间的比较过程,以及根据第6.1.3 d)条,编写适用性声明(SoA)。这些核心要求保持不变!
第6.1.3 c)条的信息性(非规范性)说明中提到附件A是一份可能的信息安全控制措施的清单,这表明可以从附件A的其他补充来源选择额外的措施。
ISO/IEC 27001:2022的新附件A
ISO/IEC 27001:2022规范性附件A中可能的信息安全(IS)控制措施的清单与ISO/IEC 27002:2022相同。一般安全控制的目录已于2022年2月公布。因此,ISO/IEC 27001:2022的附件A的变化在一段时间内是可以预见的。此前,附件A包括总共114项控制措施,这些措施可用于解决组织在14个条款中的35个控制目标下的信息安全风险。
除了新的ISO/IEC 27001:2022取消了控制目标外,附件A中的信息安全控制措施已经被修订,更新,并以一些新的控制措施进行补充和重组。
附件A原来的14个条款现在集中在以下4个主题上。
A.5 组织控制(包括37项控制)。
A.6 个人控制(包括8项控制)。
A.7 物理控制(有14项控制措施)
A.8 技术控制(包括34项控制)。
新版ISO/IEC 27001:2022的附件A现在共包括93项控制,其中以下11项是新的控制。
A.5.7 威胁情报
A.5.23 使用云服务的信息安全
A.5.30 业务连续性的ICT准备情况
A.7.4 物理安全监控
A.8.9 配置管理
A.8.10 信息的删除
A.8.11 数据屏蔽
A.8.12 防止数据泄漏
A.8.16 活动监控
A.8.23 网络过滤
A.8.28 安全编码
虽然ISO/IEC 27001:2022的附件A仅限于命名控制,但ISO/IEC 27002:2022实施指南提供了进一步的分类选项。在那里,每个控制被分配了五个属性,允许对它们有不同的看法和观点。这些属性或其属性值可用于过滤、排序或为不同的组织视图显示。
这五个属性是。
控制类型是一个属性,用于从一个措施何时以及如何改变与信息安全事件发生有关的风险的角度来看待控制。
信息安全属性是一个属性,用于从措施旨在支持什么保护目标的角度来看待控制。
网络安全概念是从它们如何映射到ISO/IEC TS 27110中描述的网络安全框架的角度来看待控制。
操作能力从其操作信息安全能力的角度考虑控制,并支持用户对措施的实际看法。
安全领域是一个属性,允许从四个信息安全领域的角度来看待控制措施。