2022年2月，ISO(國際標準化組織)更新發(fā)布了ISO/IEC 27002:2022信息安全、網(wǎng)絡安全和隱私保護-信息安全控制，以作為組織根據(jù)信息安全管理體系認證標準定制和實施信息安全控制措施的指南。新版標準在2013年ISO/IEC 27002:2013的標準基礎上進行了一系列的完善和補充，本文就此展開解讀。

01、27000體系介紹

ISO/IEC 27000標準是由國際標準化組織(ISO)及國際電工委員會(IEC)聯(lián)合定制的一套標準，該標準系列由最佳實踐所得并提出對于信息安全管理的建議，包含了信息安全管理體系概述和詞匯、信息安全管理體系實施指南、信息安全風險管理、信息安全管理系統(tǒng)驗證機構(gòu)認證規(guī)范、信息安全管理體系規(guī)范與使用指南、信息安全管理實用規(guī)則等一系列的信息安全管理系統(tǒng)領域中的風險及相關管控。

圖1 ISO27000發(fā)展歷史

27001是信息安全管理體系(ISMS)，27002是用于實施時選擇控制措施時參考，或作為組織實施信息安全控制措施的指南，最新版本由信息技術聯(lián)合技術委員會信息安全、網(wǎng)絡安全和隱私保護分委員會編寫，最新版本于2022年發(fā)布，同時廢止舊版本27002:2013。

02、2022版與2013版的主要區(qū)別

ISO/IEC27002:2022版本于2022年2月發(fā)布，新版本與2013版本發(fā)生了較大的改變，主要是在標題中刪除了“最佳實踐”的叫法，標準名稱改為“信息安全、網(wǎng)絡安全及隱私保護-信息安全控制”;總體框架變?yōu)楸容^簡單的分類;增加了控制措施的相關屬性;一些控制措施被合并，一些被刪除。

1)重構(gòu)整體總體框架

修訂后的2022版對框架結(jié)構(gòu)進行了重新構(gòu)建，合并了2013版的14個變?yōu)?個主題，控制項數(shù)量從2013版的114個減少到93個。

圖2 2013版和2022版總體框架對比

解讀：2022版將控制措施分配到組織、人員、物理、技術的四個大主題，簡單的主題使分類更加簡單，這樣方便了組織對安全控制點進行選擇歸類，可以通過歸類的特定主題策略支持信息安全策略，以加強信息安全控制的實施。

2)新增控制措施屬性

修訂后的2022版對控制措施增加了5個屬性，分別為控制類型、信息安全屬性、網(wǎng)絡概念、運營能力和安全域5個屬性。

圖3 27002 2022 新增的屬性和屬性值

解讀：2022版本的屬性是從安全控制措施的不同場景和角度進行描述和分類，以便通過屬性來創(chuàng)建不同場景和角度的安全視圖，以了解適合自己的信息安全控制的最佳實踐。

圖4 控制類型屬性(預防、監(jiān)測、糾正)分配情況

比如:控制類型屬性是從事件的時間(發(fā)生之前、期間或之后)的角度來進行描述控制措施。信息安全屬性是從信息安全涉及保護信息的特征來對安全控制措施進行描述。網(wǎng)絡安全屬性是從事件發(fā)生前、期間和之后網(wǎng)絡安全活動的角度對安全控制措施進行描述。運營能力屬性是從信息安全運行的控制的角度對安全控制措施進行描述。

3)新增11個安全控制項

2022版本相對于2013增加了11個安全控制項，增加的控制項主要集中在組織控制主題和技術控制主題，組織控制主題中增加了云、威脅情報、以及業(yè)務連續(xù)性的控制點，而技術控制主題主要是增加了關于數(shù)據(jù)安全等控制點。

圖5 2022版新增控制點分布情況

解讀：在目前的數(shù)字化轉(zhuǎn)型、網(wǎng)絡安全威脅復雜的背景下，2022版增加了對企業(yè)的業(yè)務安全、數(shù)據(jù)安全、云安全和信息安全的持續(xù)控制。

業(yè)務安全。在業(yè)務越來越依賴信息化的時代背景，2022加強了對業(yè)務連續(xù)性的支持，如增加了“5.30信息通信技術為業(yè)務連續(xù)性做好準備”的控制項，確保組織信息和其他相關資產(chǎn)的可用性中斷的管理。

數(shù)據(jù)安全。在數(shù)據(jù)監(jiān)管要求越來越嚴格的背景下，2022版本加強了企業(yè)對數(shù)據(jù)安全的管理控制，比如增加了“8.10信息刪除”、“8.12數(shù)據(jù)泄露”、“8.11數(shù)據(jù)屏蔽” 控制項。防止敏感信息暴露，并遵守有關信息刪除的法律、法規(guī)、監(jiān)管和合同要求。

云安全。針對越來越多的企業(yè)開展上云業(yè)務、并越來越多地自開發(fā)應用，2022版本加強了云服務的安全管理等，比如“5.23使用云服務的信息安全”、“5.23使用云服務的信息安全”，為使用云服務指定和管理信息安全。

信息安全。在APT等網(wǎng)絡威脅和攻擊越來越多的前提和背景下，2022版本加強了威脅情報、監(jiān)測監(jiān)控、應用安全方面提出要加強對組織威脅環(huán)境的認識，如增加了“5.7威脅情報”的控制項，以便對威脅采取適當?shù)木徑獯胧?。加強企業(yè)對軟硬件環(huán)境和安全事件的監(jiān)控控制和管理，避免未授權(quán)訪問和變更，如增加“8.16監(jiān)測活動”。檢測異常行為和潛在的信息安全事件。

同時增加“7.4物理安全監(jiān)控”和“8.9配置管理”。檢測和阻止未經(jīng)授權(quán)的物理訪問?！?.23網(wǎng)頁過濾”，保護系統(tǒng)免受惡意軟件的破壞并防止訪問未經(jīng)授權(quán)的網(wǎng)絡資源?！?.28安全編碼”，確保軟件編寫安全，從而減少軟件中潛在信息安全漏洞的數(shù)量。

03、2022版重大控制變化解讀

1)加強對業(yè)務連續(xù)性的支持

增加和強調(diào)了對業(yè)務連續(xù)性的支持，包括企業(yè)應根據(jù)業(yè)務連續(xù)性目標和ICT連續(xù)性要求來識別和選擇ICT連續(xù)性戰(zhàn)略，規(guī)劃、實施、維護和測試ICT準備情況，確保組織信息和其他相關資產(chǎn)的可用性中斷。比如在業(yè)務連續(xù)性管理過程中確定在中斷期間調(diào)整信息安全控制的要求，以在中斷期間保護信息和其他相關資產(chǎn)(見5.29 中斷期間的信息安全)。

信息安全事件應按照文件化程序進行響應，包括危機管理活動和業(yè)務連續(xù)性計劃(見5.29和5.30)，確保高效、有效地應對信息安全事件。比如設計和實施具有適當冗余的系統(tǒng)架構(gòu)，為業(yè)務連續(xù)性做好準備，尤其是在需要較短恢復時間的情況下。許多冗余措施可以成為ICT連續(xù)性戰(zhàn)略和解決方案的一部分(見8.14信息處理設施的冗余)。

2)加強云環(huán)境云服務的安全管理

云環(huán)境下的IT概念與傳統(tǒng)環(huán)境大不相同，這導致了云環(huán)境的安全管理也有很大區(qū)別，主要建議包括針對云服務的政策、云上資產(chǎn)管理、云上數(shù)據(jù)的安全管理和云服務供應鏈的管理。

建立云服務特定政策，管理云服務信息安全。比如定義與使用云服務相關的所有相關信息安全要求;云服務選擇標準和云服務使用范圍等，同時云服務協(xié)議的特點是預先定義的，不接受談判，因此對于云服務，組織應審查與云服務提供商的云服務協(xié)議，以滿足組織的機密性、完整性、可用性和信息處理要求，并具有適當?shù)脑品账侥繕撕驮品召|(zhì)量目標。并應進行相關的風險評估，以識別與使用云服務相關的風險。

加強云上資產(chǎn)管理。在云環(huán)境下將資產(chǎn)視為動態(tài)，比如可將VM等視為一組動態(tài)短期資產(chǎn);對于公共云服務等第三方資產(chǎn)加以控制;關注協(xié)作工作環(huán)境的安全，確保云環(huán)境的相關資產(chǎn)得到適當?shù)谋Ｗo、使用和處理(見5.9 信息清單和其他相關資產(chǎn))。

開展數(shù)據(jù)傳輸?shù)陌踩芾?，比如在使用云存儲等外部公共服務之前應獲得批準，保證組織和與任何外部相關方傳輸?shù)男畔⒌陌踩?見5.14 信息傳遞)。

云服務供應鏈的管理。應定義和實施流程和程序，以管理云服務供應鏈相關的信息安全風險，在供應商關系中保持商定的信息安全水平。如定義適用于云服務的信息安全要求，在整個供應鏈中傳播組織的安全要求等(5.21管理ICT 供應鏈中的信息安全)。

其他云環(huán)境應關注的還包括使用過程中，應關注云環(huán)境的安全配置、云上數(shù)據(jù)的備份、日志記錄、云環(huán)境的時鐘同步、云環(huán)境的測試等安全問題。

3)加強個人數(shù)據(jù)、隱私數(shù)據(jù)等敏感數(shù)據(jù)的安全

國家越來越重視對數(shù)據(jù)的安全，并出臺了數(shù)據(jù)安全法，各行業(yè)加強了監(jiān)管，出臺個人隱私等敏感數(shù)據(jù)政策，數(shù)據(jù)安全的保護變得越來越重要。2022版針對這種背景，對個人信息、隱私數(shù)據(jù)等敏感信息補充了關于數(shù)據(jù)的存儲和刪除、數(shù)據(jù)屏蔽、數(shù)據(jù)傳輸?shù)葦?shù)據(jù)全生命周期的控制措施和最佳實踐。

數(shù)據(jù)的存儲和刪除，敏感信息的保存時間不應超過減少不良風險所需的時間披露。應對數(shù)據(jù)刪除進行監(jiān)控，最佳實踐是利用日志跟蹤或驗證這些刪除過程是否已發(fā)生。對于供應商應確定并應用控制措施來管理供應商對信息和其他相關資產(chǎn)的訪問。例如，供應商協(xié)議涉及跨境傳輸或訪問信息時的個人數(shù)據(jù)保護風險(見8.10信息刪除)。

使用數(shù)據(jù)屏蔽，限制敏感數(shù)據(jù)的暴露，以滿足合法合規(guī)性，最佳實踐是使用數(shù)據(jù)屏蔽、假名化或匿名化等技術隱藏此類數(shù)據(jù)(見8.11數(shù)據(jù)屏蔽)。

在處理、存儲或傳輸敏感信息時，使用數(shù)據(jù)泄露預防措施檢測和防止個人或系統(tǒng)未經(jīng)授權(quán)披露和提取信息。比如識別和分類信息以防止泄漏(例如個人信息、定價模型和產(chǎn)品設計;監(jiān)控數(shù)據(jù)泄漏渠道等(見8.12數(shù)據(jù)泄露預防)。

4)提高自動化技術水平和利用自動化工具

在對安全管理要求越來越高，控制措施越來越嚴格的同時，2022建議利用自動化工具來減低安全控制措施的實施成本。比如在職責管理時，可使用自動化工具來識別角色沖突并促進將其刪除。在信息資產(chǎn)清單管理時，可利用自動化工具自動執(zhí)行庫存更新。在審查時，可以使用自動測量和報告工具進行有效的定期審查。在終端設備管理時，可通過自動化工具來實施用戶終端設備信息的保護。

在惡意軟件防范時，可以對系統(tǒng)的軟件和數(shù)據(jù)內(nèi)容進行定期自動驗證;對于配置管理，偏差可通過自動化有效地進行，自動糾正已定義的目標配置。在數(shù)據(jù)屏蔽時，可以使用自動化和規(guī)則來動態(tài)實時保護數(shù)據(jù);在對應用程序管理時，可使用自動化控制權(quán)限的批準(例如批準限制或雙重批準)等。

04、總結(jié)和建議

2022版的框架簡單，易于讀者對信息安全控制進行分類;同時增加了控制的屬性，可用來實現(xiàn)特定主題的劃分和選擇，針對性更強，以幫助企業(yè)加強信息安全控制的實施，支撐信息安全策略;并且2022版指導的安全控制內(nèi)容更加詳細和具體，使企業(yè)更容易實現(xiàn)安全控制的落地。

對于2022版本的出臺，我們建議企業(yè)應根據(jù)2022的最新框架對組織及時開展風險評估，并選擇必要合適的控制措施來維護信息安全、云安全和數(shù)據(jù)安全，做好安全控制升級的計劃和實施，以確保您的控制和ISMS符合更新的標準，確保組織能有效應對目前最新的風險。

• 首先利用新的架構(gòu)對風險進行評估，確定風險和控制要求。
• 根據(jù)風險控制對屬性進行篩選和確認確定合適的安全控制措施，關注關注國家、行業(yè)的信息安全相關的法律、法規(guī)、法規(guī)和合同要求，制定信息安全管理系統(tǒng)(ISMS)的管理組織架構(gòu)和制度規(guī)定。
• 加強風險管理，降低信息安全漏洞的可能性。
• 制定和監(jiān)測與屬性相關的指標。
• 使用屬性(和風險控制要求)作為基礎，開展評估、審查和審計。
• 總結(jié)經(jīng)驗和持續(xù)改進。