ISO/IEC 27001:2022中的規範性變化
一個非常重要的變化是在第4.4條中增加了組織的背景,要求確定ISMS中實施和維護所需的必要流程及其相互作用。這一明確的要求使ISO/IEC 27001:2022與根據HS(HLS)的其他管理系統的最佳實踐方法相一致。資訊安全管理系統必須建立在既定的、可追蹤的流程及其相互作用的基礎上。然後圍繞這些流程設計和調整附件A的資訊安全控制。
第8.1條的下一個相關變化也強調了流程導向的重要性,這是所有基於HS的管理系統的共同點。組織必須將流程作為其營運規劃和控制的一部分來實施,以實施管理資訊安全風險的措施。新的內容是,現在必須定義流程標準。流程控制必須按照這些標準來實施。
此外,在以下條款中還做了相當小的澄清和說明。
- 對第5.3條進行了補充,明確要求在組織內公布與資訊安全有關的角色的責任和權限。
- 第7.4條規定了有關ISMS的內部和外部溝通的需要。除了仍然適用的關於 "什麼"、"何時 "和 "與誰 "的規定外,溝通的方式也是對以前要求的一種可行的簡化。
- 第9.2條內部稽核和第9.3條管理審查已經適用了統一的結構。第9.2條現在被細分為9.2.1和9.2.2,第9.3條被分為三個子條款9.3.1、9.3.2和9.3.3。
- 第10.1條和第10.2條的結構順序已經根據統一結構進行了調整。在第10.1條中,前瞻性的持續改善方面現在先於第10.2條中的不合格項目和矯正措施的回顧性處理,在內容上沒有任何進一步的變化。這一調整強調了持續改善流程(CIP)的重要性。
根據第 6.1.3 c) 條,ISO/IEC 27001 中引用附錄 A 中控制集的關鍵且明確的要求是組織特定資訊安全控制與附錄 A 中的比較流程,以及根據 第 6.1.3 d) 條,準備一份適用性聲明 (SoA)。 這些核心要求保持不變!
第 6.1.3 c) 條的資訊性(非規範性)註釋中的解釋以及將附件 A 作為可能的資訊安全控制列表的參考表明了從補充附件 A 的其他來源中選擇額外措施的可能性。
ISO/IEC 27001:2022的新附件A
ISO/IEC 27001:2022的規範性附件A中可能的資訊安全(IS)控制清單與ISO/IEC 27002:2022的內容相同。一般安全控制的目錄已於2022年2月公布。因此,ISO/IEC 27001:2022的附件A的變化在一段時間內是可以預見的。此前,附件A包括總共114項控制措施,這些措施可用於解決組織在14個條款中的35個控制目標下的資訊安全風險。
除了新的ISO/IEC 27001:2022取消了控制目標外,附件A中的資訊安全控制措施已經被修訂,更新,並以一些新的控制措施進行補充和重組。
附件A原來的14個條款現在集中在以下4個主題上。
A.5 組織控制(包括37項控制)。
A.6 個人控制(包括8項控制)。
A.7 物理控制(有14項控制措施)。
A.8 技術控制(包括34項控制)。
新版ISO/IEC 27001:2022的附件A現在共包括93項控制,其中以下11項是新的控制。
A.5.7 威脅情報
A.5.23 使用雲端服務的資訊安全
A.5.30 業務連續性的ICT準備情況
A.7.4 物理安全監控
A.8.9 配置管理
A.8.10 訊息的刪除
A.8.11 資料隱藏
A.8.12 防止資料洩漏
A.8.16 活動監控
A.8.23 網路過濾
A.8.28 安全編碼
雖然ISO/IEC 27001:2022的附件A僅限於命名控制,但ISO/IEC 27002:2022實施指南提供了進一步的分類選項。在此,每個控制被分配了五個屬性,允許對它們有不同的看法和觀點。這些屬性或其屬性值可用於過濾、排序或為不同的組織視圖顯示。
這五個屬性是:
控制類型是一個屬性,用於從一個措施何時以及如何改變與資訊安全事件發生有關的風險的角度來看待控制。
資訊安全屬性是一個屬性,用於從措施旨在支援什麼保護目標的角度來看待控制。
網路安全概念是從它們如何反應到ISO/IEC TS 27110中描述的網路安全框架的角度來看待控制。
操作能力從其操作資訊安全能力的角度考慮控制,並協助用戶對措施的實際看法。
安全領域是一個屬性,允許從四個資訊安全領域的角度來看待控制措施。