01、27000体系介绍
ISO/IEC 27000标准是由国际标准化组织(ISO)及国际电工委员会(IEC)联合定制的一套标准,该标准系列由最佳实践所得并提出对于信息安全管理的建议,包含了信息安全管理体系概述和词汇、信息安全管理体系实施指南、信息安全风险管理、信息安全管理系统验证机构认证规范、信息安全管理体系规范与使用指南、信息安全管理实用规则等一系列的信息安全管理系统领域中的风险及相关管控。
图1 ISO27000发展历史
27001是信息安全管理体系(ISMS),27002是用于实施时选择控制措施时参考,或作为组织实施信息安全控制措施的指南,最新版本由信息技术联合技术委员会信息安全、网络安全和隐私保护分委员会编写,最新版本于2022年发布,同时废止旧版本27002:2013。
02、2022版与2013版的主要区别
ISO/IEC27002:2022版本于2022年2月发布,新版本与2013版本发生了较大的改变,主要是在标题中删除了“最佳实践”的叫法,标准名称改为“信息安全、网络安全及隐私保护-信息安全控制”;总体框架变为比较简单的分类;增加了控制措施的相关属性;一些控制措施被合并,一些被删除。
1)重构整体总体框架
修订后的2022版对框架结构进行了重新构建,合并了2013版的14个变为4个主题,控制项数量从2013版的114个减少到93个。
图2 2013版和2022版总体框架对比
2)新增控制措施属性
修订后的2022版对控制措施增加了5个属性,分别为控制类型、信息安全属性、网络概念、运营能力和安全域5个属性。
图3 27002 2022 新增的属性和属性值
3)新增11个安全控制项
2022版本相对于2013增加了11个安全控制项,增加的控制项主要集中在组织控制主题和技术控制主题,组织控制主题中增加了云、威胁情报、以及业务连续性的控制点,而技术控制主题主要是增加了关于数据安全等控制点。
图4 2022版新增控制点分布情况
03、彼德网安专业服务
新版标准的转换期限为3年,至2025年10月31日结束,即2025年11月01日起,所有ISO/IEC 27001:2013(简称旧版标准)版认证证书均将失效,不论其证书中标识的有效期是否到期。
彼德网安通过丰富的项目实施经验,为企业提供ISO 27001改版换证培训、指导服务,通过快速的经验传递及专家顾问咨询服务,使企业ISO 27000新版换证工作不再困难。ISO 27000新版换证服务方式包括内训、现场咨询、远程指导等多种形式。更多详情欢迎联系咨询扫描下方二维码咨询!
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...