2022年2月，ISO(國際標準化組織)更新發布了ISO/IEC 27002:2022信息安全、網絡安全和隱私保護-信息安全控制，以作為組織根據信息安全管理體系認證標準定制和實施信息安全控制措施的指南。新版標準在2013年ISO/IEC 27002:2013的標準基礎上進行了一系列的完善和補充，本文就此展開解讀。

01、27000體系介紹

ISO/IEC 27000標準是由國際標準化組織(ISO)及國際電工委員會(IEC)聯合定制的一套標準，該標準系列由最佳實踐所得并提出對于信息安全管理的建議，包含了信息安全管理體系概述和詞匯、信息安全管理體系實施指南、信息安全風險管理、信息安全管理系統驗證機構認證規范、信息安全管理體系規范與使用指南、信息安全管理實用規則等一系列的信息安全管理系統領域中的風險及相關管控。

圖1 ISO27000發展歷史

27001是信息安全管理體系(ISMS)，27002是用于實施時選擇控制措施時參考，或作為組織實施信息安全控制措施的指南，最新版本由信息技術聯合技術委員會信息安全、網絡安全和隱私保護分委員會編寫，最新版本于2022年發布，同時廢止舊版本27002:2013。

02、2022版與2013版的主要區別

ISO/IEC27002:2022版本于2022年2月發布，新版本與2013版本發生了較大的改變，主要是在標題中刪除了“最佳實踐”的叫法，標準名稱改為“信息安全、網絡安全及隱私保護-信息安全控制”;總體框架變為比較簡單的分類;增加了控制措施的相關屬性;一些控制措施被合并，一些被刪除。

1)重構整體總體框架

修訂后的2022版對框架結構進行了重新構建，合并了2013版的14個變為4個主題，控制項數量從2013版的114個減少到93個。

圖2 2013版和2022版總體框架對比

解讀：2022版將控制措施分配到組織、人員、物理、技術的四個大主題，簡單的主題使分類更加簡單，這樣方便了組織對安全控制點進行選擇歸類，可以通過歸類的特定主題策略支持信息安全策略，以加強信息安全控制的實施。

2)新增控制措施屬性

修訂后的2022版對控制措施增加了5個屬性，分別為控制類型、信息安全屬性、網絡概念、運營能力和安全域5個屬性。

圖3 27002 2022 新增的屬性和屬性值

解讀：2022版本的屬性是從安全控制措施的不同場景和角度進行描述和分類，以便通過屬性來創建不同場景和角度的安全視圖，以了解適合自己的信息安全控制的最佳實踐。

圖4 控制類型屬性(預防、監測、糾正)分配情況

比如:控制類型屬性是從事件的時間(發生之前、期間或之后)的角度來進行描述控制措施。信息安全屬性是從信息安全涉及保護信息的特征來對安全控制措施進行描述。網絡安全屬性是從事件發生前、期間和之后網絡安全活動的角度對安全控制措施進行描述。運營能力屬性是從信息安全運行的控制的角度對安全控制措施進行描述。

3)新增11個安全控制項

2022版本相對于2013增加了11個安全控制項，增加的控制項主要集中在組織控制主題和技術控制主題，組織控制主題中增加了云、威脅情報、以及業務連續性的控制點，而技術控制主題主要是增加了關于數據安全等控制點。

圖5 2022版新增控制點分布情況

解讀：在目前的數字化轉型、網絡安全威脅復雜的背景下，2022版增加了對企業的業務安全、數據安全、云安全和信息安全的持續控制。

業務安全。在業務越來越依賴信息化的時代背景，2022加強了對業務連續性的支持，如增加了“5.30信息通信技術為業務連續性做好準備”的控制項，確保組織信息和其他相關資產的可用性中斷的管理。

數據安全。在數據監管要求越來越嚴格的背景下，2022版本加強了企業對數據安全的管理控制，比如增加了“8.10信息刪除”、“8.12數據泄露”、“8.11數據屏蔽” 控制項。防止敏感信息暴露，并遵守有關信息刪除的法律、法規、監管和合同要求。

云安全。針對越來越多的企業開展上云業務、并越來越多地自開發應用，2022版本加強了云服務的安全管理等，比如“5.23使用云服務的信息安全”、“5.23使用云服務的信息安全”，為使用云服務指定和管理信息安全。

信息安全。在APT等網絡威脅和攻擊越來越多的前提和背景下，2022版本加強了威脅情報、監測監控、應用安全方面提出要加強對組織威脅環境的認識，如增加了“5.7威脅情報”的控制項，以便對威脅采取適當的緩解措施。加強企業對軟硬件環境和安全事件的監控控制和管理，避免未授權訪問和變更，如增加“8.16監測活動”。檢測異常行為和潛在的信息安全事件。

同時增加“7.4物理安全監控”和“8.9配置管理”。檢測和阻止未經授權的物理訪問。“8.23網頁過濾”，保護系統免受惡意軟件的破壞并防止訪問未經授權的網絡資源。“8.28安全編碼”，確保軟件編寫安全，從而減少軟件中潛在信息安全漏洞的數量。

03、2022版重大控制變化解讀

1)加強對業務連續性的支持

增加和強調了對業務連續性的支持，包括企業應根據業務連續性目標和ICT連續性要求來識別和選擇ICT連續性戰略，規劃、實施、維護和測試ICT準備情況，確保組織信息和其他相關資產的可用性中斷。比如在業務連續性管理過程中確定在中斷期間調整信息安全控制的要求，以在中斷期間保護信息和其他相關資產(見5.29 中斷期間的信息安全)。

信息安全事件應按照文件化程序進行響應，包括危機管理活動和業務連續性計劃(見5.29和5.30)，確保高效、有效地應對信息安全事件。比如設計和實施具有適當冗余的系統架構，為業務連續性做好準備，尤其是在需要較短恢復時間的情況下。許多冗余措施可以成為ICT連續性戰略和解決方案的一部分(見8.14信息處理設施的冗余)。

2)加強云環境云服務的安全管理

云環境下的IT概念與傳統環境大不相同，這導致了云環境的安全管理也有很大區別，主要建議包括針對云服務的政策、云上資產管理、云上數據的安全管理和云服務供應鏈的管理。

建立云服務特定政策，管理云服務信息安全。比如定義與使用云服務相關的所有相關信息安全要求;云服務選擇標準和云服務使用范圍等，同時云服務協議的特點是預先定義的，不接受談判，因此對于云服務，組織應審查與云服務提供商的云服務協議，以滿足組織的機密性、完整性、可用性和信息處理要求，并具有適當的云服務水平目標和云服務質量目標。并應進行相關的風險評估，以識別與使用云服務相關的風險。

加強云上資產管理。在云環境下將資產視為動態，比如可將VM等視為一組動態短期資產;對于公共云服務等第三方資產加以控制;關注協作工作環境的安全，確保云環境的相關資產得到適當的保護、使用和處理(見5.9 信息清單和其他相關資產)。

開展數據傳輸的安全管理，比如在使用云存儲等外部公共服務之前應獲得批準，保證組織和與任何外部相關方傳輸的信息的安全性(見5.14 信息傳遞)。

云服務供應鏈的管理。應定義和實施流程和程序，以管理云服務供應鏈相關的信息安全風險，在供應商關系中保持商定的信息安全水平。如定義適用于云服務的信息安全要求，在整個供應鏈中傳播組織的安全要求等(5.21管理ICT 供應鏈中的信息安全)。

其他云環境應關注的還包括使用過程中，應關注云環境的安全配置、云上數據的備份、日志記錄、云環境的時鐘同步、云環境的測試等安全問題。

3)加強個人數據、隱私數據等敏感數據的安全

國家越來越重視對數據的安全，并出臺了數據安全法，各行業加強了監管，出臺個人隱私等敏感數據政策，數據安全的保護變得越來越重要。2022版針對這種背景，對個人信息、隱私數據等敏感信息補充了關于數據的存儲和刪除、數據屏蔽、數據傳輸等數據全生命周期的控制措施和最佳實踐。

數據的存儲和刪除，敏感信息的保存時間不應超過減少不良風險所需的時間披露。應對數據刪除進行監控，最佳實踐是利用日志跟蹤或驗證這些刪除過程是否已發生。對于供應商應確定并應用控制措施來管理供應商對信息和其他相關資產的訪問。例如，供應商協議涉及跨境傳輸或訪問信息時的個人數據保護風險(見8.10信息刪除)。

使用數據屏蔽，限制敏感數據的暴露，以滿足合法合規性，最佳實踐是使用數據屏蔽、假名化或匿名化等技術隱藏此類數據(見8.11數據屏蔽)。

在處理、存儲或傳輸敏感信息時，使用數據泄露預防措施檢測和防止個人或系統未經授權披露和提取信息。比如識別和分類信息以防止泄漏(例如個人信息、定價模型和產品設計;監控數據泄漏渠道等(見8.12數據泄露預防)。

4)提高自動化技術水平和利用自動化工具

在對安全管理要求越來越高，控制措施越來越嚴格的同時，2022建議利用自動化工具來減低安全控制措施的實施成本。比如在職責管理時，可使用自動化工具來識別角色沖突并促進將其刪除。在信息資產清單管理時，可利用自動化工具自動執行庫存更新。在審查時，可以使用自動測量和報告工具進行有效的定期審查。在終端設備管理時，可通過自動化工具來實施用戶終端設備信息的保護。

在惡意軟件防范時，可以對系統的軟件和數據內容進行定期自動驗證;對于配置管理，偏差可通過自動化有效地進行，自動糾正已定義的目標配置。在數據屏蔽時，可以使用自動化和規則來動態實時保護數據;在對應用程序管理時，可使用自動化控制權限的批準(例如批準限制或雙重批準)等。

04、總結和建議

2022版的框架簡單，易于讀者對信息安全控制進行分類;同時增加了控制的屬性，可用來實現特定主題的劃分和選擇，針對性更強，以幫助企業加強信息安全控制的實施，支撐信息安全策略;并且2022版指導的安全控制內容更加詳細和具體，使企業更容易實現安全控制的落地。

對于2022版本的出臺，我們建議企業應根據2022的最新框架對組織及時開展風險評估，并選擇必要合適的控制措施來維護信息安全、云安全和數據安全，做好安全控制升級的計劃和實施，以確保您的控制和ISMS符合更新的標準，確保組織能有效應對目前最新的風險。

• 首先利用新的架構對風險進行評估，確定風險和控制要求。
• 根據風險控制對屬性進行篩選和確認確定合適的安全控制措施，關注關注國家、行業的信息安全相關的法律、法規、法規和合同要求，制定信息安全管理系統(ISMS)的管理組織架構和制度規定。
• 加強風險管理，降低信息安全漏洞的可能性。
• 制定和監測與屬性相關的指標。
• 使用屬性(和風險控制要求)作為基礎，開展評估、審查和審計。
• 總結經驗和持續改進。

作者簡介

張奕，谷安(安全牛)研究院研究員，長期從事信息安全、企業數字化轉型頂層規劃和自動化運維等工作，擁有20年以上IT安全、運維服務和IT咨詢經驗，已取得CISA、TOGAF、COBIT、ITIL、PMP、CCNA證書。曾在某英國全球性公司北京公司擔任IT負責人，以及埃森哲擔任IT咨詢師。