關於 ISO/IEC 27002
1. 什麼是 ISO/IEC 27002?
ISO/IEC 27002:2022 資訊安全、網路安全和隱私保護-資訊安全 控制措施 為組織的資訊安全標準提供實作指引,並為資訊安全管理提供最佳實務作法,考量了各組織獨特的資訊安全風險環境,提供組織在安全控制措施的選擇、實施和管理方面的實務指引。
2. ISO/IEC 27002:2022 是正式的修訂版嗎?
是的,ISO/IEC 27002:2022 是標準的正式修訂版,將取代 2013 年版本。
3. 修訂後的 ISO/IEC 27002:2022 有哪些變化?
在修訂後的 ISO/IEC 27002:2022 將一些不再適合當前環境的控制措施刪除,控制措施數量從 114 個減少到 93 個,其中包含新增 11 項新控制。
儘管網路攻擊的手法與樣態發生了變化,新增的 11 項控制包含了威脅情報、雲端服務使用的資訊安全和資料外洩預防等方面,將確保組織能夠持續具有能力控制自身的資訊安全。
4. ISO/IEC 27002:2022 新增哪些新內容?
ISO/IEC 27002 的修訂目標是要讓組織更容易採用,並繼續確保沒有任何必要的控制被忽略。它將控制措施分為 4 大類別:組織(Organizational)、人員(People)、實體(Physical)以及技術(Technological),並搭配其他輔助屬性標籤,例如:控制措施的類型包含預防、偵測或矯正;使用 NIST CSF 網路安全框架的識別、保護、偵測、回應、復原;以及往常的機密性、完整性和可用性三元素。屬性還可用於從不同的角度為不同的組織過濾、排序和呈現控制措施。
5. ISO/IEC 27002 是一個補充指南——我的組織需要採取哪些行動?
BSI 建議您通過審查您的風險評估和必要的控制措施來維護資訊安全、雲端安全和資料安全的最佳實踐,並確保它們符合新指南的要求,如此您的組織將能夠更好地克服未來的風險。
此外,本次 ISO/IEC 27002 的修訂將會反映到 ISO 27001 的更新,您將為組織的 ISMS 驗證著手改版工作。
對您組織的益處
6. ISO/IEC 27002:2022 將如何幫助您的業務?
- 在建立資訊安全管理系統(ISMS)的過程中鑑別合適且相稱的安全控制措施
- 達成資訊安全管理的最佳實務做法
- 滿足與資訊有關的法律、法規、監管和合約要求
- 加強風險管理,降低資訊安全漏洞的可能性
- 增加對組織 ISMS 的信心
- 提高 ISMS 的整體穩健性和韌性並加強風險管理
- 為 聯合國永續續發展目標(SDGs)9 在產業創新和基礎設施上做出貢獻
對 ISO/IEC 27001:2013 的影響
7. 2022 年 ISO/IEC 27001 是否會因為 ISO/IEC 27002 的修訂而改變?
ISO/IEC 27001 將會進行部分修訂,將本次 ISO/IEC 27002:2022 修訂部分反映在 ISO/IEC 27001 的附件 A,也將涵蓋 2014 年和 2015 年發布的 2 個小勘誤。新版的 ISO/IEC 27001標準預計將在 2022 年發布,我們將在適當的時候引導您完成整個過程。
8. ISO/IEC 27001 修訂後會有什麼影響?
您將需要進行轉版審查,並將根據每個客戶的驗證範圍(scope)、場所(sites)數量、系統和每個組織的複雜性為其定義計劃,以確保您的控制措施和 ISMS 符合新版的標準。
9. ISO/IEC 27002 改版對於正在實施 ISMS 或即將進行 ISO/IEC 27001 驗證的組織有何影響?
無論您的組織是剛剛實施 ISO 27001 還是準備進行驗證,重要的是要確保利用新版本中提供的指南最大限度地發揮 ISMS 的優勢。 ISO 27002:2022 將作為為您的組織識別和實施適當控制措施的參考。