國際標準化組織(ISO)于2022年10月發(fā)布了ISO/IEC 27001：2022《信息安全、網(wǎng)絡安全和隱私保護 信息安全管理體系 要求》，該標準代替了ISO/IEC 27001：2013.新版標準條款6.1.3“信息安全風險處置”明確了組織應確定并實施信息安全風險處置過程，并在附錄A中給出了信息安全控制項目表，該表中新增加了包括威脅情報等11個控制項。同年發(fā)布修訂的ISO/IEC 27002：2022標準對ISO/IEC 27001：2022標準中信息安全控制項給出了實施指南。

本文針對新增的11個控制項分別從項目控制要求、控制目的和指南重點三方面進行闡述，旨在為確保組織在實施ISO/IEC 27001：2022標準或準備申請認證和正確使用新版標準過程中提供幫助，以最大限度地發(fā)揮信息安全管理體系的作用。

1.威脅情報（5.7）

控制要求：應收集并分析與信息安全威脅相關的信息并編制威脅情報。

控制目的：識別本組織的威脅環(huán)境，以便采取適當?shù)木徑獯胧?/p>

指南重點：收集和分析關于現(xiàn)有或新出現(xiàn)的威脅信息，以便促進對行動的知情，防止威脅對組織造成傷害和降低威脅的影響。從戰(zhàn)略、戰(zhàn)術和行動三個層面制定威脅情報。威脅情報應該是相關的、有洞察力的、前后銜接的和可操作的。組織可以使用威脅情報來預防、監(jiān)測或應對企業(yè)信息資產(chǎn)面臨的安全狀況，進行相關的風險管理，也可以將威脅情報與企業(yè)已有的安全架構、產(chǎn)品、流程相整合，為高層決策提供建議。

2.使用云服務的信息安全（5.23）

控制要求：根據(jù)組織的信息安全要求建立獲取、使用、管理和退出云服務的流程。

控制目的：明確和管理云服務使用的信息安全。

指南重點：組織應管理與云服務使用相關的信息安全風險，主要包括云服務的信息安全要求、使用范圍、使用和管理相關的角色和職責、管理權限、信息安全保證能力、多個接口和變化、應急事故處理流程、信息安全風險評估方法云服務的退出策略。云服務協(xié)議通常是預先定義的，不允許協(xié)商。云服務協(xié)議應解決組織的保密性、完整性、可用性和信息處理要求，并具有適當?shù)脑品占墑e和質(zhì)量目標。

云服務的信息安全在5.10信息和其他相關資產(chǎn)的可接受的使用、5.19 供應商關系中的信息安全、5.21 管理ICT供應鏈中的信息安全、8.8 技術漏洞的管理、8.9配置管理、8.10 信息刪除、8.12 防止數(shù)據(jù)泄露、8.13 數(shù)據(jù)備份、8.14 信息處理設備的冗余、8.15 日志和8.28 安全編碼部分均有提及，在制定使用云服務安全策略時應綜合考慮。

有關云服務的其他信息可以在ISO/IEC 17788、ISO/IEC 17789和ISO/IEC 22123-1中找到。與支持退出策略的云可移植性相關的細節(jié)可以在ISO/IEC 19941中找到。ISO/IEC 27017中描述了與信息安全和公共云服務相關的細節(jié)。在ISO/IEC 27018中描述了與充當PII處理器的公共云中的PII保護相關的細節(jié)。云服務的供應商關系由ISO/IEC 27036—4和云服務協(xié)議涵蓋，其內(nèi)容由ISO/IEC 19086系列處理，安全和隱私由ISO/IEC 19086—4專門涵蓋。

3.為業(yè)務連續(xù)性提供信息通信技術（ICT）保障（5.30）

控制要求：應根據(jù)業(yè)務連續(xù)性目標和信息與通信技術連續(xù)性要求，對ICT準備就緒情況進行策劃、實施、維護和測試。

控制目的：確保組織的信息和其他相關資產(chǎn)在中斷期間的可用性。

指南重點：ICT已經(jīng)廣泛進入人類的經(jīng)濟和社會生活，覆蓋了所有通信設備或應用軟件，比如收音機、電視、移動電話、計算機、網(wǎng)絡硬件和軟件、衛(wèi)星系統(tǒng)等，以及與之相關的各種服務和應用軟件，例如視頻會議和遠程教學。ICT連續(xù)性要求是業(yè)務影響分析(BIA系統(tǒng))的結果，管理 ICT 連續(xù)性是業(yè)務連續(xù)性要求的一個關鍵部分，根據(jù)ICT服務的BIA和風險評估的結果，組織應確定和選擇ICT連續(xù)性策略，以滿足ICT服務所需的可用性水平。組織應建立適當?shù)慕M織結構，制定ICT連續(xù)性計劃，計劃需經(jīng)過評審后批準實施。業(yè)務連續(xù)性的ICT準備詳見 ISO/IEC 27031.業(yè)務連續(xù)性管理參見ISO 22301和ISO 22313.有關BIA的方法參見 ISO/TS 22317.

4.物理安全監(jiān)控(7.4)

控制要求：保證對未經(jīng)授權物理訪問的持續(xù)監(jiān)控。

控制目的：檢測和阻止未經(jīng)授權物理訪問。

指南重點：應通過監(jiān)控系統(tǒng)監(jiān)控實際場景，監(jiān)控系統(tǒng)包括警衛(wèi)、入侵警報、類似閉路電視的視頻監(jiān)控系統(tǒng)，以及自我管理或由提供監(jiān)控服務廠家管理的物理安全信息管理軟件。應通過安裝閉路電視或探測器持續(xù)監(jiān)控關鍵系統(tǒng)所在建筑物的出入情況，以檢測未經(jīng)授權的出入員或可疑行為。監(jiān)控系統(tǒng)的設計應該保密，防止未經(jīng)授權的人員訪問監(jiān)控信息或遠程禁用系統(tǒng)。記錄視頻應遵循當?shù)胤煞ㄒ?guī)，尤其是關于人員監(jiān)控和保留期的法律法規(guī)。

5.配置管理（8.9）

控制要求：應建立、記錄、實施、監(jiān)控和審查硬件、軟件、服務和網(wǎng)絡的配置，包括安全配置。

控制目的：確保硬件、軟件、服務和網(wǎng)絡滿足安全設置功能的正確，未經(jīng)授權或不正確的更改不會更改配置項。

指南重點：配置管理的基本單位是配置項。此處的配置管理重點在于業(yè)務方面的配置管理和安全方面的配置管理，二者相輔相成。組織應制定和實施流程和工具，以在硬件、軟件、服務(例如云服務)和網(wǎng)絡、新安裝的系統(tǒng)以及運營系統(tǒng)的生命周期內(nèi)加強實施已定義的配置(包括安全配置)管理。為確保對所有配置項更改正確，應明確配置的角色、職責和流程。應規(guī)定硬件、軟件、服務和網(wǎng)絡安全配置項的標準模板。當需要應對新威脅或漏洞時，或者當引入新軟件或硬件版本時，應定期審查和更新這些模板。配置項更改應遵循技術狀態(tài)更改管理流程(參見8.32)。應使用一套全面的系統(tǒng)管理工具(例如：維護使用程序、遠程支持工具、企業(yè)管理工具、備份和恢復工具)來監(jiān)控配置，并應定期審查配置項，以驗證配置設置與所評估活動的一致性。配置信息可以使用系統(tǒng)進行管理，也可以通過文檔來進行記錄。

組織可以盡可能通過配置管理實現(xiàn)所有信息資產(chǎn)相關的管理。

6.信息刪除（8.10）

控制要求：當不再需要時，應刪除存儲在信息系統(tǒng)、設備或任何其他存儲介質(zhì)中的信息。

控制目的：防止敏感信息的不必要外泄，并遵守法律、法規(guī)、監(jiān)管和合同對信息刪除的要求。

指南重點：敏感信息的保留時間應不超過降低不希望泄漏風險所需的時間。刪除系統(tǒng)信息、應用程序和服務的信息時，應考慮相關法律法規(guī)、選擇的刪除方法(如電子覆蓋或加密擦除)和作為證據(jù)的刪除結果記錄。如果第三方代表組織存儲本組織的信息，應考慮在第三方協(xié)議中納入刪除信息的要求。在使用云服務的情況下，組織應該驗證云服務提供商提供的刪除方法是否可接受。應使用7.14中描述的控制措施對存儲設備實施物理銷毀，同時刪除其中包含的信息。云服務中用戶數(shù)據(jù)刪除參見 ISO/IEC 27017.刪除 PII 的內(nèi)容參見ISO/IEC 27555.

7.數(shù)據(jù)脫敏（8.11）

控制要求：應根據(jù)組織訪問控制和其他相關的專題策略、業(yè)務需求和適用的法律，實施數(shù)據(jù)脫敏。

控制目的：限制包括PII在內(nèi)的敏感數(shù)據(jù)的披露，遵守法律法規(guī)，滿足監(jiān)管和合同要求。

指南重點：如果需要保護敏感數(shù)據(jù)(例如PII)，組織應考慮使用數(shù)據(jù)脫敏、假名或匿名等技術來隱藏此類數(shù)據(jù);數(shù)據(jù)脫敏的其他技術包括加密、取消或刪除字符，變化數(shù)字和日期，用其他數(shù)值替代等;使用數(shù)據(jù)脫敏、假名或匿名的注意事項。有關公共云中PII保護的附加控制參見 ISO/IEC 27018.其他去識別化技術參見ISO/IEC 20889.

8.防止數(shù)據(jù)泄露（8.12）

控制要求：在系統(tǒng)、網(wǎng)絡和任何其他設備上處理、存儲或傳輸敏感信息時，應采取防止數(shù)據(jù)泄露的措施。

控制目的：檢測并防止個人或系統(tǒng)在未經(jīng)授權情況下公開和提取信息。

指南重點：組織通過對防止泄露信息進行識別和分類，監(jiān)控數(shù)據(jù)泄露的渠道和采取防止信息泄露措施來降低數(shù)據(jù)泄露的風險。使用數(shù)據(jù)防泄漏的工具，識別和監(jiān)控面臨未授權披露風險的敏感信息，檢測敏感信息的泄露，阻止暴露敏感信息的用戶操作或網(wǎng)絡傳輸。組織應確定是否有必要限制用戶向組織外部的服務、設備和存儲介質(zhì)復制、粘貼或上傳數(shù)據(jù)的能力。訪問控制和安全文檔管理的防止數(shù)據(jù)泄漏參見5.12和5.15.

9.監(jiān)控活動（8.16）

控制要求：應監(jiān)控網(wǎng)絡、系統(tǒng)和應用程序的異常行為，并采取適當?shù)拇胧﹣碓u估潛在的信息安全事件。

控制目的：檢測異常行為和潛在的信息安全事件。

指南重點：監(jiān)控范圍和級別應根據(jù)業(yè)務和信息安全要求確定，并考慮相關法律法規(guī)。監(jiān)控記錄應保留規(guī)定的保留期限。組織應建立正常性能基線，并根據(jù)該基線監(jiān)控異常情況。監(jiān)控系統(tǒng)應包括出站和入站網(wǎng)絡、系統(tǒng)和應用流量，訪問系統(tǒng)、服務器、網(wǎng)絡設備、監(jiān)控系統(tǒng)、關鍵應用程序等，關鍵或管理級系統(tǒng)和網(wǎng)絡配置文件，安全工具的日志，事件日志，檢查正在執(zhí)行的代碼是否被授權在系統(tǒng)中運行以及是否被篡改，資源的使用及其性能。組織應建立正常行為的基線，并根據(jù)該基線監(jiān)控異常情況。建立基線時，應考慮正常和高峰時期的系統(tǒng)利用率、每個用戶或用戶組的通常訪問時間、訪問位置、訪問頻率等因素?？梢酝ㄟ^利用威脅情報系統(tǒng)等方式增強安全監(jiān)控：監(jiān)控活動通常根據(jù)正常、可接受和預期的系統(tǒng)和網(wǎng)絡活動的基線進行軟件配置。

10.web過濾（8.23）

控制要求：管理對外部網(wǎng)站的訪問，以減少惡意內(nèi)容的影響。

控制目的：保護系統(tǒng)免受惡意軟件的侵害，并防止未經(jīng)授權的網(wǎng)絡資源訪問。

指南重點：降低其員工訪問包含非法信息或已知包含病毒或網(wǎng)絡釣魚材料的網(wǎng)站的風險。實現(xiàn)這一目的的技術是阻止相關網(wǎng)站的IP 地址或域。一些瀏覽器和反惡意軟件技術會自動執(zhí)行此操作，或者可以配置為執(zhí)行此操作。組織應確定員工應該或不應該訪問的網(wǎng)站類型，阻止惡意網(wǎng)站或共享非法內(nèi)容的網(wǎng)站的訪問。web 過濾可以包括一系列技術，包括簽名、啟發(fā)式、可接受或禁止網(wǎng)站或域列表的配置，以防止惡意軟件和其他惡意活動攻擊組織的網(wǎng)絡和系統(tǒng)。

11.安全編碼（8.28）

控制要求：應用安全編碼原則開發(fā)軟件。

控制目的：確保軟件編寫安全，從而減少軟件中潛在的信息安全漏洞的數(shù)量。

指南重點：建立全組織范圍適用的過程，為安全編碼提供良好的管理方法。應建立和應用最低限度的安全基線。此外，這種過程和管理方法應該延伸到第三方的軟件組件和開源軟件。組織應監(jiān)控實際威脅以及最新軟件漏洞，持續(xù)改進安全編碼原則。規(guī)則和編碼前安全編碼原則應該用于新的開發(fā)和重用場景。這些原則應當適用于組織內(nèi)部的開發(fā)活動以及組織向他人提供的產(chǎn)品和服務。信通技術安全評估的更多信息參見 ISO/IEC 15408系列。

ISO/ IEC 27001：2022標準中新增的11個信息安全控制項是在分析當前“大智物移云”(大數(shù)據(jù)、智能化、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、云計算)等技術發(fā)展環(huán)境變化基礎上，結合當前信息安全的風險態(tài)勢，識別出來的11個信息安全風險因素。這11個信息安全風險因素并不代表新識別信息安全風險因素的全部，在具體實施時還需按照ISO 31000的要求開展信息安全風險評估和處置，確保風險識別不漏項，風險控制措施有效，殘余風險可接受。

中企檢測認證網(wǎng)提供iso體系認證機構查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權、版權法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網(wǎng)絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權登記、專利申請、知識產(chǎn)權、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權、版權、商標、專利的轉讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：中國政府網(wǎng)、百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡信息整理，文章版權歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/news/202309/xwif_45400.html