分類
Information Security

新版ISO 27002:2022出爐,資安控制措施正式修訂為4大類93項

距離2013年版相隔已8年,新版ISO 27002:2022將控制措施集中於組織層與技術層,控制項目數量則有進一步的綜合整理歸納,並因應網路攻擊手法與樣態新增11項控制,同時提供屬性標籤能讓控制項目更容易使用。

去年底,傳出國際資安標準ISO 27002改版在即的消息,在2月15日,新版ISO 27002:2022悄悄發布。在國際標準組織(ISO)網站上,我們可看到此標準目前已邁入60.60修訂階段,這也是ISO27002推出後的第二度改版——在此之前,這套標準有最初發布的2005年版,以及後續改進的2013年版。

同時,ISO 27001的改版動向也備受關注,雖然ISO官網上未顯示2022版資訊,但根據英國標準協會臺灣BSI表示,後續新版將進行部分修訂,改版時間不會太長,目前預估是今年下半就會發布。

新版管控項目將結構精簡,聚焦讓組織採用更容易

基本上,ISO 27002是資訊安全管理系統(ISMS)的實務指導文件,並作為ISO/IEC 27001國際標準附錄A的詳細參考資訊,提供控制措施選擇的具體參考。

這次ISO 27002改版計畫,從2018年開始啟動,直到去年草案版本發布,開始受到各界關注,畢竟距離上一版本的推出相隔8年,如今ISO 27002:2022版修訂完成,正式發布。

關於新版的變化,BSI表示,首先,標準名稱改為「資訊安全、網路安全及隱私保護-資訊安全控制措施」,以更符合現代的資安管理需求。

其次,在內容的修訂上,ISO 27002:2022的修訂目標,聚焦於讓組織更容易採用,並確保必要控制措施不會忽略。

簡單來說,新版簡化控制措施架構,從原有的14條款類別,重新調整為4大類別,分別是組織控制、人員控制、實體控制與技術控制,而整體控制項目則從114個減到93個,藉此強化資安管控有效性,並將不適合當前環境的內容刪除,當中更新58個控制項目,並將多個控制項目併為24個控制項目,並新增11個控制項目。

這些新增項目,主要是為對應當前的網路攻擊手法與樣態,控制項目包含了威脅情資、雲端服務使用的資安、資通訊技術營運持續整備、實體安全監控、組態管理、資訊刪除、資料遮罩、資料外洩防護、活動檢視、網站過濾與安全程式碼撰寫,以確保組織能持續具有能力,控制自身的資訊安全。

新版現在也增加屬性標籤,包括控制類型(預防、偵測與矯正)、資安特性(機密性、完整性、可用性,CIA)、網路安全概念(識別、保護、偵測、回應、復原,NIST CSF)、執行能力,以及安全領域。讓企業組織可從不同角度,快速過濾相關控制措施,以及執行排序呈現,讓組織更方便找出相關控制要求。

目前看來,新版正式發布內容與草案版本大致相當,不過我們發現,在這93項控制措施中,8.22 Segregation in networks,與8.23 Web filtering,兩者的順序對調,與草案版本不同。BSI表示,其實在最終草案版本時,條文順序就已變動。

另一個標準ISO 27001改版時程終於明朗

至於各界關注的ISO 27001改版時程,BSI表示,目前獲知的時間在2022年第三季到第四季,可能與後續投票時程有關,若有進展會再更新。

至於ISO 27001預估將修訂的內容,主要依據ISO/IEC 27002:2022修訂部分,反映於ISO/IEC 27001的附件A,也將涵蓋2014年與2015年發布的2個小勘誤。

由於ISO 27002:2022已經發布,新版ISO 27001也預期會在今年修訂完成,對於已取得ISO 27001驗證的企業組織而言,除了可準備轉版認證審查,確保企業驗證範圍的控制措施與資訊安全管理系統符合新版的標準,也應朝向全公司驗證範圍目標邁進;而正在導入實施ISMS或進行ISO/IEC 27001驗證的企業,現在也可選擇參考ISO/IEC 27002:2022。

BSI表示,由於每個標準改版的幅度不同,根據過往經驗,新標準正式公布後,企業組織都會有2到3年的時間來進行改版;若組織能力與預算可行,先以新版ISO 27002:2022的指引來著手接下來的資安工作,是可以這麼做。

關於ISO 27001的相關消息,後續我們在ISO官方網站找到相關資訊,目前ISO 27001:2013版已有增修1草案(DAMD 1),目前進度是2022年2月3日的40.20階段,目前正進行草案(DIS)版本投票。

資料來源:https://www.ithome.com.tw/news/149520?fbclid=IwAR23_hQ6I4xKJc27rbFDFHMyf5DGCA4hdGmT3j7P5zTZbGOJOTFesaI05IM

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品的專業證照。