2022年2月,ISO(国际标准化组织)更新发布ISO/IEC27002:2022InformationSecurity,NetworkSecurityandPrivacyProtection-InformationSecurityControl,作为组织信息化的依据安全关于为管理体系认证标准定制和实施信息安全控制的指南。新版标准在2013ISO/IEC27002:2013标准的基础上进行了一系列的改进和补充,本文对其进行解读。01.27000体系介绍ISO/IEC27000标准是由国际标准化组织(ISO)和国际电工委员会(IEC)共同制定的一套标准。该系列标准源于最佳实践并提出了信息安全管理的建议,包括信息安全管理体系概述和词汇、信息安全管理体系实施指南、信息安全风险管理、认证等一系列信息安全问题信息安全管理体系认证机构规范、信息安全管理体系规范和使用指南、信息安全管理实用规则。管理体系领域的风险和相关控制。图1ISO27000发展历程27001即信息安全管理体系(ISMS),27002在实施过程中选择控制措施时作为参考,或作为组织实施信息安全控制措施的指南。最新版由信息技术联合技术委员会信息安全、网络安全与隐私保护分委会编制,最新版将于2022年发布,旧版27002:2013同时废止。02、2022和2013版本的主要区别发生了重大变化,主要是标题中删除了“最佳实践”的名称,标准名称改为“信息安全、网络安全和隐私”保护-信息安全控制”;整体框架变成了一个比较简单的Categorized;添加了控件的相关属性;一些控件合并,一些删除。1)整体总体框架重构2022版修订版重构了框架结构,将2013版的14个合并为4个主题,控制项由2013版的114个减少为93个。图2总体框架解读2013版和2022版:2022版对组织、人员、物理、技术四大主题进行管控。简单的主题使分类更容易,有利于组织选择安全控制点分类,信息安全策略可以通过分类的具体主题策略来支持,以加强信息安全控制的实施。2)增加了控制措施属性2022年修订版增加了5个控制措施属性,即控制类型、信息安全属性、网络概念、运行能力和安全域。图3270022022新增属性及属性值解读:2022版本的属性从安全控制措施的不同场景和角度进行描述和分类,通过属性创建不同场景和角度的安全视图,从而达到了解适用于信息安全控制的最佳实践。图4控制类型属性分布(预防、监测、纠正)例如:控制类型属性从事件发生的时间(发生前、发生时或发生后)的??角度描述控制措施。信息安全属性从与保护信息相关的信息安全特性出发,描述安全控制措施。网络安全属性从事件之前、期间和之后的网络安全活动的角度描述安全控制。操作能力属性从信息安全操作控制的角度描述安全控制措施。3)2022版本新增11项安全控制项。与2013年相比,新增安全控制项目11项。增加的管控项目主要集中在组织管控专题和技术管控专题。云、威胁情报和业务被添加到组织控制主题中。连续性控制点,而技术控制主题主要增加数据安全等控制点。图52022版新控制点分布解读:在当前数字化转型和复杂网络安全威胁的背景下,2022版增加了对业务安全、数据安全、云安全、信息安全的持续管控企业。业务安全。在业务越来越依赖信息化的时代背景下,2022加强了对业务连续性的支持,如增加控制项“5.30信息通信技术为业务连续性做准备”,确保组织信息和其他相关资产的安全.可用性中断的管理。数据安全。在数据监管要求日益严格的背景下,2022版加强了企业对数据安全的管控,如新增“8.10信息删除”、“8.12数据泄露”、“8.11数据屏蔽”控制项。防止敏感信息泄露,遵守法律、法规、规章和合同要求的信息删除。云安全。针对越来越多的企业开展云业务和自主研发的应用,2022版加强了云服务的安全管理,如《5.23使用云服务的信息安全》、《5.23使用云服务的信息安全》等规范和管理使用云服务的信息安全。信息安全。在APT等网络威胁和攻击越来越多的前提和背景下,2022版加强了威胁情报、监测监控、应用安全等方面的内容。项目,以便针对威胁采取适当的缓解措施。加强企业对软硬件环境和安全事件的监控、控制和管理,避免未经授权的访问和更改,如增加“8.16监控活动”。检测异常行为和潜在的信息安全事件。同时增加“7.4物理安全监控”和“8.9配置管理”。检测并防止未经授权的物理访问。“8.23Web过滤”保护系统免受恶意软件的侵害,并防止访问未经授权的网络资源。“8.28SecureCoding”确保软件被安全地编写,从而减少软件中潜在的信息安全漏洞的数量。03.2022版重大控制变更解读1)加强对业务连续性的支持增加并强调对业务连续性的支持,包括企业应根据业务连续性目标和ICT连续性要求,识别和选择ICT连续性战略,计划、实施、维护和测试ICT准备情况,以确保中断组织信息和其他相关资产的可用性。例如,业务连续性管理流程确定在中断期间调整信息安全控制的需要,以在中断期间保护信息和其他相关资产(参见5.29中断期间的信息安全)。信息安全事件应根据形成文件的程序作出响应,包括危机管理活动和业务连续性计划(见5.29和5.30),以确保对信息安全事件做出高效和有效的响应。例如设计和实施具有适当冗余的系统架构,为业务连续性做好准备,尤其是在需要较短恢复时间的情况下。许多冗余措施可以成为ICT连续性战略和解决方案的一部分(参见8.14信息处理设施的冗余)。2)加强云环境中云服务的安全管理云环境中的IT概念与传统环境中的IT概念有很大不同,导致云环境的安全管理存在很大差异。主要建议包括云服务政策、云资产管理、云数据安全管理和云服务供应链管理。建立云服务特定的策略来管理云服务信息安全。例如,定义与使用云服务相关的所有相关信息安全要求;云服务选择标准和云服务使用范围等,而云服务协议的特点是预先定义的,不接受协商,因此对于云服务,组织应审查并与云服务进行沟通。服务提供商的云服务协议,以满足组织的机密性、完整性、可用性和信息处理要求,具有适当的云服务级别目标和云服务质量目标。并应进行相关的风险评估,以识别与使用云服务相关的风险。加强云端资产管理。将云环境中的资产视为动态的,例如,将虚拟机视为一组动态的短期资产;控制第三方资产,例如公共云服务;关注协同工作环境的安全,确保云环境相关资产得到妥善保护、使用和处置(见5.9信息清查及其他相关资产)。对数据传输进行安全管理,例如在使用云存储等外部公共服务前获得批准,以确保组织和任何外部方传输信息的安全(见5.14信息传输)。云服务供应链管理。应定义和实施流程和程序,以管理与云服务供应链相关的信息安全风险,并在供应商关系中维持商定的信息安全水平。如定义适用于云服务的信息安全要求,在整个供应链中传播组织的安全要求等(5.21管理ICT供应链中的信息安全)。其他云环境在使用过程中也要注意云环境安全配置、云数据备份、日志记录、云环境时钟同步、云环境测试等安全问题。3)加强个人数据、隐私数据等敏感数据的安全。国家越来越重视数据安全,出台了数据安全法。各行业加强监管,出台个人隐私等敏感数据政策。保护数据安全变得越来越重要。针对这一背景,2022版针对个人信息、隐私数据等敏感信息,补充了数据存储和删除、数据脱敏、数据传输等全数据生命周期的管控措施和最佳实践。数据的存储和删除,敏感信息的保留时间不应超过必要的时间,以降低不利披露的风险。应监控数据删除,最佳做法是使用日志来跟踪或验证是否发生了这些删除。对于供应商,应确定并应用控制措施来管理供应商对信息和其他相关资产的访问。例如,供应商协议解决了跨境传输或访问信息时的个人数据保护风险(请参阅8.10信息删除)。使用数据屏蔽来限制敏感数据的暴露以满足法律合规性,最佳做法是使用数据屏蔽、假名化或匿名化等技术隐藏此类数据(请参阅8.11数据屏蔽)。在处理、存储或传输敏感信息时,使用数据泄露预防措施来检测和防止个人或系统未经授权披露和提取信息。如识别和分类信息以防止泄露(如个人信息、定价模型和产品设计;监控数据泄露渠道等(见8.12数据泄露预防)。4)提高自动化技术水平和利用自动化工具越来越多对安全管理要求高,在管控措施日趋严格的同时,2022建议使用自动化工具降低实施安全管控措施的成本。例如,在职责管理中,可以使用自动化工具来识别角色冲突并帮助消除冲突。在管理信息资产库存时,可以使用自动化工具来自动更新库存。在审查时,可以使用自动测量和报告工具来进行有效的定期审查。在终端设备管理中,可以通过自动化工具实现对用户终端设备信息的保护。在恶意软件预防方面,可以对系统的软件和数据内容进行定期自动验证;在配置管理中,可以通过自动化高效地进行偏差处理,自动修正定义的目标配置。在数据屏蔽方面,可以利用自动化和规则实时动态保护数据;在应用管理中,可以使用自动化控制权限的审批(如审批限制或双重审批)。04.总结与建议2022版框架简洁,便于读者对信息安全控制进行分类;同时增加了控件的属性,可用于实现特定主题的划分和选择,更有针对性地帮助企业加强信息安全管控。实施和支持信息安全战略;并且2022版指南的安全管控内容更加详细和具体,让企业更容易实施安全管控。针对2022版本的发布,我们建议企业根据最新的2022框架及时对组织进行风险评估,选择必要和适当的控制措施来维护信息安全、云安全和数据安全,并计划和实施安全控制升级。确保您的控制和ISMS符合更新的标准,确保组织能够有效应对最新的风险。首先,使用新框架评估风险并确定风险和控制要求。根据风险控制筛选和确认属性,确定合适的安全控制措施,关注国家和行业信息安全相关的法律、法规、规章和合同要求,制定信息安全管理体系(ISMS)的管理组织架构和制度规定.加强风险管理,降低信息安全漏洞发生的可能性。制定和监控与属性相关的指标。使用属性(和风险控制要求)作为进行评估、审查和审计的基础。总结经验,不断改进。作者简介张毅,固安(安全牛)研究院研究员,长期从事信息安全、企业数字化转型顶层规划、自动化运维等工作。拥有超过20年的IT安全、运维服务、IT咨询经验。拥有CISA、TOGAF、COBIT、ITIL、PMP、CCNA证书。曾任北京一家英国跨国公司的IT总监,埃森哲IT顾问。
