2022年2月,ISO(化组织)更新发布了ISO/IEC 27002:2022信息安全、网络安全和隐私保护-信息安全控制,以作为组织根据信息安全管理体系认证标准定制和实施信息安全控制措施的指南。
新版标准在2013年ISO/IEC 27002:2013的标准基础上进行了一系列的完善和补充,本文就此展开解读。
270002体系介绍
ISO/IEC 27000标准是由化组织(ISO)及国际电工委员会(IEC)联合定制的一套标准,该标准系列由佳实践所得并提出对于信息安全管理的建议,包含了信息安全管理体系概述和词汇、信息安全管理体系实施指南、信息安全风险管理、信息安全管理系统验证机构认证规范、信息安全管理体系规范与使用指南、信息安全管理实用规则等一系列的信息安全管理系统领域中的风险及相关管控。
27001是信息安全管理体系(ISMS),27002是用于实施时选择控制措施时参考,或作为组织实施信息安全控制措施的指南,新版本由信息技术联合技术委员会信息安全、网络安全和隐私保护分委员会编写,新版本于2022年发布,同时废止旧版本27002:2013。