信息安全管理体系2022版解读

场景化控制措施解析

ISO/IEC 27002：2022结构介绍

• 控制类型（＃Preventive，＃Detective，＃Corrective）

• 控制类型是一种属性，用于从控制何时以及如何影响信息安全事件发生的风险结果的角度查看控制，属性值包括

• #Preventive（控制在威胁发生之前起作用）

• ＃Detective （控制在发生威胁时起作用）

• #Corrective（控制在发生威胁后起作用）。

• 信息安全属性（#Confidentiality机密性、#Integrity完整性、#Availability可用性）

• 信息安全属性是一个特征，用于从控制将有助于保存的信息的哪些特征的角度来查看控制。属性值包括#Confidentiality、#Integrity 和#Availability。

• 网络安全概念（#Identify 识别、#Protect 保护、#Detect 检测、#Respond 响应、#Recover 恢复）

• 网络安全概念是从控制与 ISO/IEC TS 27101 中描述的网络安全框架中定义的网络安全概念的关联的角度来查看控制的属性。属性值包括#Identify、#Protect、#Detect、#Respond 和#Recover .

• 安全域

• 安全域是从四个信息安全域的角度来看待控制的属性：

• “治理与生态”包括“信息系统安全治理与风险管理”和“生态系统网络安全管理”（包括内部和外部利益相关者）；

•  “保护”包括“IT安全架构”、“IT安全管理”、“身份和访问管理”、“IT安全维护”和“物理和环境安全”；

• “防御”包括“检测”和“计算机安全事件管理”；

• “弹性”包括“运营的连续性”和“危机管理”。

条款示例

• 指南

• 在最高级别，组织应定义一个“信息安全策略”，该策略应得到最高管理层的批准，并阐明组织管理其信息安全的方法。

• 信息安全策略应满足以下要求：

• a）商业策略和要求；

• b）法规，法律和合同；

• c）当前和预计的信息安全威胁环境。

• 信息安全策略应包含有关以下内容的声明：

• a）信息安全的定义；

• b）信息安全目标或设置信息安全目标的框架；

• c）指导与信息安全有关的所有活动的原则；

• d）承诺满足有关信息安全的适用要求；

• e）致力于持续改进信息安全管理系统；

• f）将信息安全管理的职责分配给已定义的角色；

• g）处理偏差和异常的程序。

• 特定主题的政策应由适当的经理批准。

• 特定主题的政策应以目标读者相关、可访问和可理解的形式传达给相关人员和外部利益相关方。组织可以确定满足组织需求的这些政策文件的格式和名称。在某些组织中，信息安全策略和特定主题的策略可能在一个文档中。组织可以命名这些特定主题的政策标准、指令、政策或其他。

• 应根据相关人员的适当权限和技术能力，将制定、审查和批准特定主题政策的责任分配给相关人员。审查应包括评估改进组织政策和管理信息安全的机会，以响应以下方面的变化：

• a) 组织的业务战略；

• b) 组织的技术环境；

• c) 条例、法规、立法和合同；

• d) 信息安全风险；

• e) 当前和预计的信息安全威胁环境；

• f) 从信息安全事件和事故中吸取的教训。

• 信息安全政策的评审应考虑管理评审和审计的结果。

• 如果任何信息安全政策分布在组织外部，应注意不要泄露机密信息。