标准动态ISO/IEC 27002草案版关键变化解析
ISO/IEC 27002是一份指导性文件,旨在用作在实施基于ISO/IEC 27001的信息安全管理体系(ISMS)时选择控制措施的参考,或作为组织实施信息安全控制措施的指南。自去年开始,ISO/IEC JTC 1/SC27已对现时的ISO/IEC 27002:2013版本进行评审,目前处于DIS(国际标准草案)阶段。尽管部分控制措施保持不变,但控制措施布局和某些控制措施却发生了重大变化。由于ISO/IEC 27001:2013的附录A旨在与ISO/IEC 27002保持一致,因此,ISO/IEC 27001附录A将在ISO/IEC 27002完成评审后进行修订。
一、控制措施数量
DIS版本有93个控制措施,而2013版本则有114个控制措施。
二、控制措施类别
控制措施重新分组为4个类别,而不是2013年版本的14个类别。新的控制措施布局有助管理层在领导组织提升信息安全时分配职责。
组织控制、人员控制、物理控制、技术控制
三、新的控制措施
因为科技发展和企业实践的变化,DIS版本加入了12个新的控制措施。
1、回应持续变化的科技应用和数据保护趋势
5.7 威胁情报
5.23 使用云服务的信息安全
8.12 预防数据泄露
2、纳入敏感数据保护的控制措施
8.10 信息删除
8.11 数据掩藏
3、确认科技在保持企业回弹力的重要作用
5.30 信息和通信技术为业务连续性就绪
4、其它新的控制措施
5.16 身份管理
7.4 物理安全监控
8.1 用户终端设备
8.9 配置管理
8.22 网页过滤
8.28 安全编码
四、16个控制措施被移除
5.1.2信息安全策略评审
6.2.1移动设备策略
8.1.2资产的所属关系
8.2.3资产的处理
9.4.3口令管理系统
11.1.6交接区
11.2.5资产的移动
11.2.8无人值守的用户设备
12.4.2日志信息的保护
12.6.2软件安装限制
13.2.3电子消息发送
14.1.2公共网络上应用服务的安全保护
14.1.3应用服务事务的保护
14.2.9系统验收测试
16.1.3报告信息安全弱点
18.2.3技术符合性评审
五、修改的控制措施
将类似的控制措施整合在一起,成为一个主要措施。
ISO/IEC DIS 27002 ISO/IEC 27002:2013
5.14 信息传输 13.2.1 信息传输策略和规程
13.2.2 信息传输协议
8.24 密码学的使用 10.1.1 密码控制的使用策略
10.1.2 密匙管理
18.1.5 密码控制规范
把控制目标相互分离,强调监测的重要性
8.15 日志 12.4.1 事态日志
8.16 监测活动 12.4.3 管理员和操作员日志
更清晰的信息保护目标,而非资产保护
5.9 信息清单和相关资产清单 8.1.1 资产清单
5.10 信息和相关资产的可接受使用 8.1.3 资产的可接受使用
尽管关于DIS版本变化的解释和理由未在JTC 1/SC27 之外发布,但很明显,这些变化是为了反映科技发展和企业实践的变化。
