國際標準化組織(ISO)于2022年10月發布了ISO/IEC 27001:2022《信息安全、網絡安全和隱私保護 信息安全管理體系 要求》,該標準代替了ISO/IEC 27001:2013.新版標準條款6.1.3“信息安全風險處置”明確了組織應確定并實施信息安全風險處置過程,并在附錄A中給出了信息安全控制項目表,該表中新增加了包括威脅情報等11個控制項。同年發布修訂的ISO/IEC 27002:2022標準對ISO/IEC 27001:2022標準中信息安全控制項給出了實施指南。
本文針對新增的11個控制項分別從項目控制要求、控制目的和指南重點三方面進行闡述,旨在為確保組織在實施ISO/IEC 27001:2022標準或準備申請認證和正確使用新版標準過程中提供幫助,以最大限度地發揮信息安全管理體系的作用。
1.威脅情報(5.7)
控制要求:應收集并分析與信息安全威脅相關的信息并編制威脅情報。
控制目的:識別本組織的威脅環境,以便采取適當的緩解措施。
指南重點:收集和分析關于現有或新出現的威脅信息,以便促進對行動的知情,防止威脅對組織造成傷害和降低威脅的影響。從戰略、戰術和行動三個層面制定威脅情報。威脅情報應該是相關的、有洞察力的、前后銜接的和可操作的。組織可以使用威脅情報來預防、監測或應對企業信息資產面臨的安全狀況,進行相關的風險管理,也可以將威脅情報與企業已有的安全架構、產品、流程相整合,為高層決策提供建議。
2.使用云服務的信息安全(5.23)
控制要求:根據組織的信息安全要求建立獲取、使用、管理和退出云服務的流程。
控制目的:明確和管理云服務使用的信息安全。
指南重點:組織應管理與云服務使用相關的信息安全風險,主要包括云服務的信息安全要求、使用范圍、使用和管理相關的角色和職責、管理權限、信息安全保證能力、多個接口和變化、應急事故處理流程、信息安全風險評估方法云服務的退出策略。云服務協議通常是預先定義的,不允許協商。云服務協議應解決組織的保密性、完整性、可用性和信息處理要求,并具有適當的云服務級別和質量目標。
云服務的信息安全在5.10信息和其他相關資產的可接受的使用、5.19 供應商關系中的信息安全、5.21 管理ICT供應鏈中的信息安全、8.8 技術漏洞的管理、8.9配置管理、8.10 信息刪除、8.12 防止數據泄露、8.13 數據備份、8.14 信息處理設備的冗余、8.15 日志和8.28 安全編碼部分均有提及,在制定使用云服務安全策略時應綜合考慮。
有關云服務的其他信息可以在ISO/IEC 17788、ISO/IEC 17789和ISO/IEC 22123-1中找到。與支持退出策略的云可移植性相關的細節可以在ISO/IEC 19941中找到。ISO/IEC 27017中描述了與信息安全和公共云服務相關的細節。在ISO/IEC 27018中描述了與充當PII處理器的公共云中的PII保護相關的細節。云服務的供應商關系由ISO/IEC 27036—4和云服務協議涵蓋,其內容由ISO/IEC 19086系列處理,安全和隱私由ISO/IEC 19086—4專門涵蓋。
3.為業務連續性提供信息通信技術(ICT)保障(5.30)
控制要求:應根據業務連續性目標和信息與通信技術連續性要求,對ICT準備就緒情況進行策劃、實施、維護和測試。
控制目的:確保組織的信息和其他相關資產在中斷期間的可用性。
指南重點:ICT已經廣泛進入人類的經濟和社會生活,覆蓋了所有通信設備或應用軟件,比如收音機、電視、移動電話、計算機、網絡硬件和軟件、衛星系統等,以及與之相關的各種服務和應用軟件,例如視頻會議和遠程教學。ICT連續性要求是業務影響分析(BIA系統)的結果,管理 ICT 連續性是業務連續性要求的一個關鍵部分,根據ICT服務的BIA和風險評估的結果,組織應確定和選擇ICT連續性策略,以滿足ICT服務所需的可用性水平。組織應建立適當的組織結構,制定ICT連續性計劃,計劃需經過評審后批準實施。業務連續性的ICT準備詳見 ISO/IEC 27031.業務連續性管理參見ISO 22301和ISO 22313.有關BIA的方法參見 ISO/TS 22317.
4.物理安全監控(7.4)
控制要求:保證對未經授權物理訪問的持續監控。
控制目的:檢測和阻止未經授權物理訪問。
指南重點:應通過監控系統監控實際場景,監控系統包括警衛、入侵警報、類似閉路電視的視頻監控系統,以及自我管理或由提供監控服務廠家管理的物理安全信息管理軟件。應通過安裝閉路電視或探測器持續監控關鍵系統所在建筑物的出入情況,以檢測未經授權的出入員或可疑行為。監控系統的設計應該保密,防止未經授權的人員訪問監控信息或遠程禁用系統。記錄視頻應遵循當地法律法規,尤其是關于人員監控和保留期的法律法規。
5.配置管理(8.9)
控制要求:應建立、記錄、實施、監控和審查硬件、軟件、服務和網絡的配置,包括安全配置。
控制目的:確保硬件、軟件、服務和網絡滿足安全設置功能的正確,未經授權或不正確的更改不會更改配置項。
指南重點:配置管理的基本單位是配置項。此處的配置管理重點在于業務方面的配置管理和安全方面的配置管理,二者相輔相成。組織應制定和實施流程和工具,以在硬件、軟件、服務(例如云服務)和網絡、新安裝的系統以及運營系統的生命周期內加強實施已定義的配置(包括安全配置)管理。為確保對所有配置項更改正確,應明確配置的角色、職責和流程。應規定硬件、軟件、服務和網絡安全配置項的標準模板。當需要應對新威脅或漏洞時,或者當引入新軟件或硬件版本時,應定期審查和更新這些模板。配置項更改應遵循技術狀態更改管理流程(參見8.32)。應使用一套全面的系統管理工具(例如:維護使用程序、遠程支持工具、企業管理工具、備份和恢復工具)來監控配置,并應定期審查配置項,以驗證配置設置與所評估活動的一致性。配置信息可以使用系統進行管理,也可以通過文檔來進行記錄。
組織可以盡可能通過配置管理實現所有信息資產相關的管理。
6.信息刪除(8.10)
控制要求:當不再需要時,應刪除存儲在信息系統、設備或任何其他存儲介質中的信息。
控制目的:防止敏感信息的不必要外泄,并遵守法律、法規、監管和合同對信息刪除的要求。
指南重點:敏感信息的保留時間應不超過降低不希望泄漏風險所需的時間。刪除系統信息、應用程序和服務的信息時,應考慮相關法律法規、選擇的刪除方法(如電子覆蓋或加密擦除)和作為證據的刪除結果記錄。如果第三方代表組織存儲本組織的信息,應考慮在第三方協議中納入刪除信息的要求。在使用云服務的情況下,組織應該驗證云服務提供商提供的刪除方法是否可接受。應使用7.14中描述的控制措施對存儲設備實施物理銷毀,同時刪除其中包含的信息。云服務中用戶數據刪除參見 ISO/IEC 27017.刪除 PII 的內容參見ISO/IEC 27555.
7.數據脫敏(8.11)
控制要求:應根據組織訪問控制和其他相關的專題策略、業務需求和適用的法律,實施數據脫敏。
控制目的:限制包括PII在內的敏感數據的披露,遵守法律法規,滿足監管和合同要求。
指南重點:如果需要保護敏感數據(例如PII),組織應考慮使用數據脫敏、假名或匿名等技術來隱藏此類數據;數據脫敏的其他技術包括加密、取消或刪除字符,變化數字和日期,用其他數值替代等;使用數據脫敏、假名或匿名的注意事項。有關公共云中PII保護的附加控制參見 ISO/IEC 27018.其他去識別化技術參見ISO/IEC 20889.
8.防止數據泄露(8.12)
控制要求:在系統、網絡和任何其他設備上處理、存儲或傳輸敏感信息時,應采取防止數據泄露的措施。
控制目的:檢測并防止個人或系統在未經授權情況下公開和提取信息。
指南重點:組織通過對防止泄露信息進行識別和分類,監控數據泄露的渠道和采取防止信息泄露措施來降低數據泄露的風險。使用數據防泄漏的工具,識別和監控面臨未授權披露風險的敏感信息,檢測敏感信息的泄露,阻止暴露敏感信息的用戶操作或網絡傳輸。組織應確定是否有必要限制用戶向組織外部的服務、設備和存儲介質復制、粘貼或上傳數據的能力。訪問控制和安全文檔管理的防止數據泄漏參見5.12和5.15.
9.監控活動(8.16)
控制要求:應監控網絡、系統和應用程序的異常行為,并采取適當的措施來評估潛在的信息安全事件。
控制目的:檢測異常行為和潛在的信息安全事件。
指南重點:監控范圍和級別應根據業務和信息安全要求確定,并考慮相關法律法規。監控記錄應保留規定的保留期限。組織應建立正常性能基線,并根據該基線監控異常情況。監控系統應包括出站和入站網絡、系統和應用流量,訪問系統、服務器、網絡設備、監控系統、關鍵應用程序等,關鍵或管理級系統和網絡配置文件,安全工具的日志,事件日志,檢查正在執行的代碼是否被授權在系統中運行以及是否被篡改,資源的使用及其性能。組織應建立正常行為的基線,并根據該基線監控異常情況。建立基線時,應考慮正常和高峰時期的系統利用率、每個用戶或用戶組的通常訪問時間、訪問位置、訪問頻率等因素。可以通過利用威脅情報系統等方式增強安全監控:監控活動通常根據正常、可接受和預期的系統和網絡活動的基線進行軟件配置。
10.web過濾(8.23)
控制要求:管理對外部網站的訪問,以減少惡意內容的影響。
控制目的:保護系統免受惡意軟件的侵害,并防止未經授權的網絡資源訪問。
指南重點:降低其員工訪問包含非法信息或已知包含病毒或網絡釣魚材料的網站的風險。實現這一目的的技術是阻止相關網站的IP 地址或域。一些瀏覽器和反惡意軟件技術會自動執行此操作,或者可以配置為執行此操作。組織應確定員工應該或不應該訪問的網站類型,阻止惡意網站或共享非法內容的網站的訪問。web 過濾可以包括一系列技術,包括簽名、啟發式、可接受或禁止網站或域列表的配置,以防止惡意軟件和其他惡意活動攻擊組織的網絡和系統。
11.安全編碼(8.28)
控制要求:應用安全編碼原則開發軟件。
控制目的:確保軟件編寫安全,從而減少軟件中潛在的信息安全漏洞的數量。
指南重點:建立全組織范圍適用的過程,為安全編碼提供良好的管理方法。應建立和應用最低限度的安全基線。此外,這種過程和管理方法應該延伸到第三方的軟件組件和開源軟件。組織應監控實際威脅以及最新軟件漏洞,持續改進安全編碼原則。規則和編碼前安全編碼原則應該用于新的開發和重用場景。這些原則應當適用于組織內部的開發活動以及組織向他人提供的產品和服務。信通技術安全評估的更多信息參見 ISO/IEC 15408系列。
ISO/ IEC 27001:2022標準中新增的11個信息安全控制項是在分析當前“大智物移云”(大數據、智能化、物聯網、移動互聯網、云計算)等技術發展環境變化基礎上,結合當前信息安全的風險態勢,識別出來的11個信息安全風險因素。這11個信息安全風險因素并不代表新識別信息安全風險因素的全部,在具體實施時還需按照ISO 31000的要求開展信息安全風險評估和處置,確保風險識別不漏項,風險控制措施有效,殘余風險可接受。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:中國政府網、百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
