ISO/IEC 27002

ISO/IEC 27002 เป็นแนวทางที่ออกแบบมาเพื่อใช้เป็นข้อมูลอ้างอิงในการควบคุมสำหรับการจัดการความเสี่ยงด้านความปลอดภัยของข้อมูลเพื่อสนับสนุนระบบการจัดการความปลอดภัยของข้อมูลตาม ISO/IEC 27001 หรือเป็นชุดการรักษาความปลอดภัยของข้อมูลแบบระบบ Stand-Alone ที่เป็นที่ยอมรับโดยทั่วไป และมีกำหนดประกาศใช้ในเดือนมกราคม/กุมภาพันธ์ พ.ศ.2565 (2022)

1. เปลี่ยนชื่อหัวข้อ

มาตรฐานนี้จะนำคำว่าเทคโนโลยีสารสนเทศ (Information Technology) ออกจากชื่อหัวข้อ และแทนด้วยความปลอดภัยของข้อมูล (Information Security) ความปลอดภัยทางไซเบอร์ (Cybersecurity) และการปกป้องความเป็นส่วนตัว (Privacy Protection)

2. โครงสร้าง

การปรับเปลี่ยนโครงสร้างของมาตรฐาน ซึ่งพยายามนำเสนอด้านการควบคุมในรูปแบบที่เข้าใจง่าย โดยใช้อนุกรมวิธาน (Taxonomy) อย่างง่ายและคุณลักษณะที่เกี่ยวข้อง

3. ตัวควบคุม

จากการเปลี่ยนชื่อหัวข้อและการพัฒนาในด้านการรักษาความปลอดภัยของข้อมูลตั้งแต่ปี พ.ศ.2556 (2013) การเปลี่ยนแปลงที่สำคัญที่สุดก็คือตัวควบคุม โดยมีการรวมตัวควบคุมเข้าด้วยกัน ซึ่งบางส่วนถูกตัดออกและบางส่วนเพิ่มเข้ามาใหม่

   3.1 การเปลี่ยนแปลงตัวควบคุม (Control Changes)

ตัวควบคุมใหม่ 11

3.2 คุณลักษณะการควบคุม

ปัจจุบันการควบคุมแต่ละอย่างเชื่อมโยงกับคุณลักษณะทั่วไป 5 ข้อ โดยการใช้ # เพื่อให้สามารถค้นหาได้ อย่างไรก็ตาม หากองค์กรต้องการใช้คุณลักษณะของตนเอง หรือพิจารณาแล้วว่าคุณลักษณะเหล่านี้ไม่มีผลกับพวกเขา ก็สามารถเพิ่มหรือตัดออกได้ตามที่เห็นสมควร

3.2 รูปแบบการควบคุม

รูปแบบการควบคุมมีดังต่อไปนี้:

• หัวข้อการควบคุม (Control title)
• ตารางรายละเอียดของข้อมูล (Attribute table)
• การควบคุม (Control)
• วัตถุประสงค์ (Purpose)
• คำแนะนำ (Guidance)
• ข้อมูลอื่น ๆ (Other information)

• การควบคุม - การควบคุมคืออะไร
• วัตถุประสงค์ - เหตุใดจึงควรดำเนินการควบคุม
• คำแนะนำ - ควรดำเนินการควบคุมอย่างไร
• ข้อมูลอื่นๆ – คำอธิบายหรือการอ้างอิง

ต้องพิจารณาสิ่งใดอีกบ้าง

จะต้องมีการปรับเปลี่ยนมาตรฐาน ISO/IEC 27001 ในช่วงต้นปี พ.ศ.2565 (2022) เพื่อแสดงให้เห็นว่าการเปลี่ยนแปลงในมาตรฐาน ISO 27002 จะส่งผลกระทบต่อ Annex A. อย่างไร
มีมาตรฐานใดที่คุณใช้อ้างอิงหรืออาศัยมาตรฐาน ISO/IEC 27002 หรือไม่ เช่น ISO/IEC 27011 หรือ ISO/IEC 27017