ISO/IEC 27002:2022新版本解读——CFCA助力企业全面筑牢信息安全防线

2022年2月，国际标准化组织（ISO）更新发布了《ISO/IEC 27002:2022信息安全、网络安全和隐私保护-信息安全控制》（以下简称“ISO27002”）。ISO27002是组织根据信息安全管理体系认证标准定制和实施信息安全控制措施的指南，新版本是在ISO/IEC 27002:2013旧版本基础上进行的一系列完善和补充，反映了信息安全技术的持续进步和行业实践的不断发展。

针对新版本的发布，中国金融认证中心（CFCA）开展了一系列的研究和分析——包括建立新标准与ISO 27002:2013之间的映射表、重新执行风险评估和安全控制差距分析、了解特定的属性等工作，以便为企业独特的信息安全风险环境做出更好的服务。

ISO 27002：2022的重要变化

新版本与2013版本相比有较大改变，标题也改为“信息安全、网络安全及隐私保护-信息安全控制”，具体变化如下：

1、总体架构重构

修订后的2022版对体系框架结构进行了重新构建，合并了2013版的14个控制域（Domain）变为4个主题（Themes），控制项数量从2013版的114个减少到93个，新的划分方式更加符合日常工作思维，便于安全控制策略的理解和实施。这样既方便了组织对安全控制点进行选择归类，又可以通过归类的特定主题策略支持信息安全策略，以加强信息安全控制的实施。

2、引入11个新安全控制项

新版本根据安全技术和趋势的变化，更新增加了更多的安全控制项。增加的控制项主要集中在组织控制主题和技术控制主题，组织控制主题中增加了云、威胁情报以及业务连续性的控制点；技术控制主题主要增加了关于数据安全等控制点，来应对技术和工业实践的变化。

3、新增控制措施“属性”

2022版还为每个控制项引入了“属性”。每个控制项都与五个具有相应属性值的属性相关联，使用这些属性并不是强制性的。组织可以选择忽略其中的一个或多个属性，或选择其它属性。例如运营能力属性，从治理、资产管理、信息保护等15个领域对组织整体运营能力情况进行全方位审查。针对属性项的统计分析可以更好地帮助企业了解某一领域、工作板块内安全工作的管理程度和情况。

ISO/IEC 27002:2022变更总结

2022版的框架更简单，易于读者对信息安全控制进行分类；同时增加了安全控制的属性，可用来实现特定主题的划分和选择，针对性更强，以帮助企业加强信息安全控制的实施，支撑信息安全策略；并且2022版指导的安全控制内容更加详细和具体，使企业更容易实现安全控制的落地。

CFCA为企业提供成熟的信息安全咨询服务

ISO/IEC 27002:2022新版本能够帮助组织在最新的信息技术与网络环境下更好地选择信息安全管理控制措施，并且保证组织实施信息安全控制的实时性、先进性、可用性和实用性。但同时，标准的更新对组织的安全技术及安全控制提出了更高的要求。

接下来，通过对新老版本的对比分析与经验总结，CFCA将利用自身丰富的安全服务经验、专业的服务团队、成熟的方法论，为基础设施运营者、金融机构、网络安全服务机构等组织提供咨询服务工作。同时，将根据实际情况严格对照2022版的最新框架对组织及时开展风险评估，并选择必要合适的安全控制措施来维护信息安全、云安全和数据安全，做好安全控制升级的计划和实施，以确保企业的安全控制和ISMS符合更新的标准，确保组织能有效应对目前最新的风险。