Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 27002:2022 — 信息安全、网络安全和隐私保护 — 信息安全控制实践准则
信息安全、网络安全和隐私保护 — 信息安全控制实践准则
ISO/IEC 27002在27000系列中的角色
ISO/IEC 27002:2022作为信息安全控制措施的权威实践准则,为ISO/IEC 27001:2022附录A中列出的控制措施提供了详细的实施指南。ISO/IEC 27001规定了ISMS的强制性要求——包括选择和实施控制措施的要求——而ISO/IEC 27002则解释了应如何实施这些控制措施,为4个主题领域下的93项控制措施提供了实用指南、设计考虑因素和实施示例。
27001和27002之间的关系是互补的。将27001视为”做什么”(要求和控制选择),将27002视为”怎么做”(实施指南)。两者共同构成了管理信息安全的完整框架。
2022版代表了从2013版的重大更新。控制措施已从14个领域和114项调整为4个主题和93项,新增了11项控制措施并对现有控制进行了重大修订。该标准现在包含了一个全面的属性分类系统,为每项控制措施标注多个属性——控制类型、网络安全概念、运营能力和安全领域——实现了从不同角度的灵活筛选和报告。
| 主题 | 控制数量 | 重点领域 | 示例控制措施 |
|---|---|---|---|
| 组织控制 | 37 | 方针、角色、职责、治理 | 信息安全方针、威胁情报、云安全、供应商关系、事件管理、业务连续性 |
| 人员控制 | 8 | 人力资源安全、意识、培训 | 人员审查、安全意识、纪律程序、远程工作、职责分配 |
| 物理控制 | 14 | 物理和环境安全 | 物理边界、入口控制、安全监控、设备防护、桌面清空策略 |
| 技术控制 | 34 | 技术安全措施 | 访问控制、密码学、网络安全、安全开发、恶意软件防护、数据泄露防护 |
主题重组反映了安全控制自然跨越组织边界的现实。例如,”远程工作”(人员控制8.1)不仅涉及人员策略,还涉及技术控制(VPN、端点保护)和组织控制(安全策略、风险评估)。属性系统有助于连接这些跨领域关系。
安全控制措施结构与实施
ISO/IEC 27002:2022中的每项控制措施都采用标准化格式呈现,旨在促进一致的解读和实施。对于每项控制措施,标准提供:(1) 控制措施陈述——对控制措施实现目标的简洁描述;(2) 目的——解释为什么该控制措施很重要;(3) 实施指南——核心内容,提供关于如何实施控制措施的逐步或基于场景的指南;(4) 相关信息——与其他相关控制措施、标准或法律框架的交叉引用。
新的属性系统值得特别关注。每项控制措施在五个维度上被标注属性:控制类型(预防性、检测性、纠正性)、信息安全特性(机密性、完整性、可用性)、网络安全概念(识别、保护、检测、响应、恢复——与NIST网络安全框架一致)、运营能力(治理、资产管理、访问控制等)和安全领域(治理与生态系统、保护、防御、韧性)。这些属性使组织能够为不同受众生成定制视图——董事会级别的网络安全报告可能聚焦于治理和防御,而技术团队报告可能聚焦于保护和检测。
| 属性维度 | 属性值 | 用例 |
|---|---|---|
| 控制类型 | 预防性(#P)、检测性(#D)、纠正性(#C) | 识别控制覆盖类型中的缺口 |
| 安全特性 | 机密性(#C)、完整性(#I)、可用性(#A) | 将控制措施映射到CIA三元组 |
| 网络安全概念 | 识别(#I)、保护(#P)、检测(#D)、响应(#R)、恢复(#RC) | 与NIST CSF或类似框架对齐 |
| 运营能力 | 治理、资产管理、访问控制等 | 识别安全运营中的能力差距 |
| 安全领域 | 治理与生态系统、保护、防御、韧性 | 战略安全计划规划 |
属性系统是描述性的,而非规定性的——它帮助组织分析和沟通其控制状态,但不会创建额外要求。获得ISO/IEC 27001:2022认证的组织无需使用属性系统;它是用于增强管理和报告的可选工具。
关键控制措施深度解析
在2022版引入的11项新控制措施中,有几项因其当代相关性值得详细讨论。控制措施5.7(威胁情报)要求组织系统化地收集和分析关于当前和新兴威胁的信息,将原始威胁数据转化为可操作的情报。这项控制措施反映了威胁情报从大型企业的专业职能向所有重视安全的组织期望的基础能力转变。实施通常包括建立来源(ISAC、行业团体、商业情报源)、定义分析流程,以及将情报输出集成到风险评估和事件响应工作流程中。
控制措施5.23(云服务信息安全)提供了管理云采用安全影响的指南。这项控制措施认识到,与本地解决方案相比,云服务引入了不同的风险特征,包括共享责任模型、多租户考虑、数据驻留要求和供应商锁定风险。实施指南涵盖云服务选择、供应商尽职调查、合同安全要求以及云服务安全态势的持续监控。
控制措施5.10(ICT业务连续性准备信息安全)将信息安全与业务连续性管理联系起来。该控制措施要求组织确保ICT系统准备好在中断期间维持或快速恢复业务运营。指南涵盖容量规划、冗余架构、备份策略、灾难恢复测试以及ICT准备与组织业务连续性计划的整合。
控制措施5.25(信息删除)和控制措施8.11(数据掩码)的补充解决了数据生命周期管理日益增长的重要性。信息删除确保数据在不再需要时被安全处置,减少了因过时数据导致的数据泄露风险。数据掩码允许在不暴露敏感信息的情况下使用逼真数据进行测试和开发,随着GDPR和CCPA等隐私法规对个人数据处理施加严格要求,这一能力变得日益关键。
控制措施8.28(安全编码)将安全软件开发的原则正式化。它要求组织建立安全编码规则、进行代码审查、执行安全测试并管理所开发软件中发现的漏洞。这项控制措施与OWASP SAMM和BSIMM等成熟的安全开发生命周期框架保持一致,为这些技术实践提供了兼容管理系统的外壳。对于开发软件的组织来说,这项控制措施已成为其安全计划的基石,弥合了开发运营和信息安全管理之间的差距。
控制措施8.34(监控活动)涉及系统化监控信息系统以检测安全事件和异常的需求。指南涵盖日志收集和保留、监控范围(网络流量、系统事件、用户活动)、分析技术(关联分析、基线建立、异常检测)和告警机制。考虑到网络威胁日益复杂化以及需要通过早期检测来最小化事件影响,这项控制措施尤其重要。
常见问题
问1:ISO/IEC 27002是否可以独立于ISO/IEC 27001使用?
可以。虽然27001和27002被设计为互补使用,但27002可以独立作为实施信息安全控制的参考指南。许多组织即使不追求27001认证,也使用27002作为最佳实践框架。标准通过为每项控制措施提供独立的实施指南来明确支持这种使用场景。
可以。虽然27001和27002被设计为互补使用,但27002可以独立作为实施信息安全控制的参考指南。许多组织即使不追求27001认证,也使用27002作为最佳实践框架。标准通过为每项控制措施提供独立的实施指南来明确支持这种使用场景。
问2:2022版如何处理从2013版合并或删除的控制措施?
2013版的控制措施要么被保留(可能经过修订),要么被合并到更广泛的控制措施中,或在少数情况下不再延续。例如,之前14个领域结构中与纯粹组织边界相关的内容被整合。标准包含了一个映射2013版和2022版控制措施之间关系的附件,使在版本之间过渡的组织能够轻松识别对应的控制措施并相应更新文档。
2013版的控制措施要么被保留(可能经过修订),要么被合并到更广泛的控制措施中,或在少数情况下不再延续。例如,之前14个领域结构中与纯粹组织边界相关的内容被整合。标准包含了一个映射2013版和2022版控制措施之间关系的附件,使在版本之间过渡的组织能够轻松识别对应的控制措施并相应更新文档。
问3:根据ISO/IEC 27002实施控制措施需要哪些文档?
ISO/IEC 27002本身不强制要求文档——这些要求来自ISO/IEC 27001。然而,27002中的实施指南经常建议将文档作为最佳实践,包括方针、程序、记录和报告。文档水平应与组织的规模、复杂性和风险状况相适应。标准强调文档的价值在于其为指导和证明安全运营提供的实际效用,而非制造官僚负担。
ISO/IEC 27002本身不强制要求文档——这些要求来自ISO/IEC 27001。然而,27002中的实施指南经常建议将文档作为最佳实践,包括方针、程序、记录和报告。文档水平应与组织的规模、复杂性和风险状况相适应。标准强调文档的价值在于其为指导和证明安全运营提供的实际效用,而非制造官僚负担。
问4:27002控制措施如何与NIST网络安全框架相关联?
2022版特别将其属性系统与NIST CSF的五个功能(识别、保护、检测、响应、恢复)相对齐。这种对齐意味着使用NIST CSF的组织可以将其现有安全能力映射到相应的27002控制措施,反之亦然。许多组织同时使用这两个框架——NIST CSF用于战略风险沟通和董事会级报告,27002用于详细的控制实施指南和认证。
2022版特别将其属性系统与NIST CSF的五个功能(识别、保护、检测、响应、恢复)相对齐。这种对齐意味着使用NIST CSF的组织可以将其现有安全能力映射到相应的27002控制措施,反之亦然。许多组织同时使用这两个框架——NIST CSF用于战略风险沟通和董事会级报告,27002用于详细的控制实施指南和认证。
