增值的業務流程由訊息和資料驅動。沒有資訊交流,在我們的數位經濟中就沒有任何東西可以發揮作用。我們的基本服務是基於關鍵的基礎設施,其功能高度依賴於資訊和資料的交換。資訊安全遠遠延伸到我們工作和生活的現實中。因此,保護資訊驅動的日常運作、關鍵資料和知識產權免受網路威脅,對各種規模的企業來說都是勢在必行的。在這個工業化的網路攻擊時代,要適應不斷變化的資訊安全風險,就需要採取及時和靈活的方法來建立企業的復原力。
而這正是新的ISO/IEC 27001:2022的發揮之地,它著重資訊安全管理的流程導向。二十多年來,ISO 27001標準一直是資訊安全管理系統的既定基礎,但已經老化。儘管它已經老化,但根據ISO調查,在過去的2021年,該標準能夠增長,證書增加了32%。在對當代資訊安全評估框架需求不斷增長的背景下,新的ISO/IEC 27001:2022於2022年10月25日發佈。有什麼進展?
ISO 27001描述了資訊安全管理系統(簡稱ISMS)的框架--無論公司的組織結構、規模或方向如何,都是如此。這裡的關鍵是風險管理。不斷變化的網路威脅正在不斷利用公司的新潛在漏洞,目的是攻擊和破壞資訊流,從而破壞業務流程。這種機制對資訊安全的三個基本保護目標--保密性、完整性和可用性--產生的風險必須被鑑別和管理。
ISO/IEC 27001:2022的更新關係到管理這些資訊安全風險的最佳實踐。新的ISO/IEC 27001:2022的規範性附件A中可能的資訊安全控制清單與修訂後的ISO/IEC 27002:2022指南中的內容相同。該實施指南已於今年2月通過,並採用了更簡單的分類法和當代安全控制。隨著新的ISO/IEC 27001:2022的發佈,成功的ISO標準串聯27001/27002及其寶貴的建議措施再次成為最先進的標準。
ISO/IEC 27001:2022-10 -資訊安全、網路安全和隱私保護 - 資訊安全管理系統 - 要求
該標準的英文版本可在ISO主頁上查詢。
新的ISO/IEC 27001:2022的另一個重大變化是,隨著對所謂的協調結構的適應,早該提出的流程導向的要求被置於有效的ISMS的重點。有效的管理系統的基礎是明確的流程和它們的相互作用,以及這些流程的目標導向標準,以便對它們進行控制。
在下文中,我們將對新版ISO 27001的三個變化領域進行仔細研究。
從2021年5月起,以前的高階結構(HLS)將被統一架構(HS)所取代。HS是制定新的和未來修訂現有ISO管理系統標準的基本結構和模板。ISO/IEC 27001:2022是首批適用HS的管理系統標準之一。與HLS相比,HS中的各種澄清、增加以及刪除,對於熟悉該標準的用戶來說是相當有趣的。
然而,對於ISO/IEC 27001:2022來說,可以直接看到從HS中衍生出來的重要內容。在未來,第6.3條將要求以有計劃的方式實施對ISMS的修改。這一要求是其他管理系統所熟悉的,表達了對ISMS相關變更流程已經掌握的期望。例如,從以前的ISO/IEC 27001:2013過渡到新的ISO/IEC 27001:2022,可以理解為ISMS的變更,應該以有計劃的方式實施其所有影響和互動。
根據ISO標準的整體管理系統 ★有效實施風險管理流程 ★持續改善安全水準
一個非常重要的變化是在第4.4條中增加了組織的背景,要求確定ISMS中實施和維護所需的必要流程及其相互作用。這一明確的要求使ISO/IEC 27001:2022與根據HS(HLS)的其他管理系統的最佳實踐方法相一致。資訊安全管理系統必須建立在既定的、可追蹤的流程及其相互作用的基礎上。然後圍繞這些流程設計和調整附件A的資訊安全控制。
第8.1條的下一個相關變化也強調了流程導向的重要性,這是所有基於HS的管理系統的共同點。組織必須將流程作為其營運規劃和控制的一部分來實施,以實施管理資訊安全風險的措施。新的內容是,現在必須定義流程標準。流程控制必須按照這些標準來實施。
此外,在以下條款中還做了相當小的澄清和說明。
根據第 6.1.3 c) 條,ISO/IEC 27001 中引用附錄 A 中控制集的關鍵且明確的要求是組織特定資訊安全控制與附錄 A 中的比較流程,以及根據 第 6.1.3 d) 條,準備一份適用性聲明 (SoA)。 這些核心要求保持不變!
第 6.1.3 c) 條的資訊性(非規範性)註釋中的解釋以及將附件 A 作為可能的資訊安全控制列表的參考表明了從補充附件 A 的其他來源中選擇額外措施的可能性。
ISO/IEC 27001:2022的規範性附件A中可能的資訊安全(IS)控制清單與ISO/IEC 27002:2022的內容相同。一般安全控制的目錄已於2022年2月公布。因此,ISO/IEC 27001:2022的附件A的變化在一段時間內是可以預見的。此前,附件A包括總共114項控制措施,這些措施可用於解決組織在14個條款中的35個控制目標下的資訊安全風險。
除了新的ISO/IEC 27001:2022取消了控制目標外,附件A中的資訊安全控制措施已經被修訂,更新,並以一些新的控制措施進行補充和重組。
附件A原來的14個條款現在集中在以下4個主題上。
A.5 組織控制(包括37項控制)。
A.6 個人控制(包括8項控制)。
A.7 物理控制(有14項控制措施)。
A.8 技術控制(包括34項控制)。
新版ISO/IEC 27001:2022的附件A現在共包括93項控制,其中以下11項是新的控制。
A.5.7 威脅情報
A.5.23 使用雲端服務的資訊安全
A.5.30 業務連續性的ICT準備情況
A.7.4 物理安全監控
A.8.9 配置管理
A.8.10 訊息的刪除
A.8.11 資料隱藏
A.8.12 防止資料洩漏
A.8.16 活動監控
A.8.23 網路過濾
A.8.28 安全編碼
雖然ISO/IEC 27001:2022的附件A僅限於命名控制,但ISO/IEC 27002:2022實施指南提供了進一步的分類選項。在此,每個控制被分配了五個屬性,允許對它們有不同的看法和觀點。這些屬性或其屬性值可用於過濾、排序或為不同的組織視圖顯示。
這五個屬性是:
控制類型是一個屬性,用於從一個措施何時以及如何改變與資訊安全事件發生有關的風險的角度來看待控制。
資訊安全屬性是一個屬性,用於從措施旨在支援什麼保護目標的角度來看待控制。
網路安全概念是從它們如何反應到ISO/IEC TS 27110中描述的網路安全框架的角度來看待控制。
操作能力從其操作資訊安全能力的角度考慮控制,並協助用戶對措施的實際看法。
安全領域是一個屬性,允許從四個資訊安全領域的角度來看待控制措施。
根據ISO標準的整體管理系統 ★有效實施風險管理流程 ★持續改善安全水準
新的和改進的ISO/IEC 27001版本已於2022年10月25日發佈。這導致標準用戶的過渡時間和期限如下:
過渡的最後期限是ISO標準。
新的ISO/IEC 27001:2022已經可以開始驗證。這表示3年過渡期的開始。
總體來說,主要的創新有以下幾點:
我們的內容和手冊完全由我們的標準專家或資深的稽核人員所撰寫。如果您對文章內容或對作者的服務有任何疑問,請隨時向我們寄送電子郵件。
DQS 資訊安全管理系統 (ISMS) 專家和 ISO 9001、ISO/IEC 27001 標準和根據德國能源工業法 (EnWG) 第 11.1a 條的 IT 安全目錄的長期稽核員
