趋势与观点 | 更新的 ISO/IEC 27002:2022标准指南,第1部分
2022年2月,国际标准化组织 (ISO) 和国际电工委员会 (IEC) 发布了其广泛采用的标准《ISO/IEC 27002: 2022信息安全、网络安全和隐私保护—信息安全控制》的更新版本,作为通用信息安全控制的参考,包括实施指南。本文档旨在供组织在基于ISO/IEC 27001标准的信息安全管理系统 (ISMS) 的背景下使用,以根据国际公认的最佳实践实施信息安全控制,并制定组织特定的信息安全管理指南。修改包括添加和引入了11个新控件以及其他内容。
重要的是,IT审计师和安全从业人员要了解新的控制措施,以及针对该标准所做的更新,他们需要实施什么。虽然并不强制要求每个组织必须遵从ISO/IEC 27002: 2022指南,从合规性的角度来看也不是必需的(因为如果没有相关的风险因素或法律、法规或合同要求,控制措施可能不适用),但在可能的情况下了解和建立控制措施以加强组织内的信息安全总是有益的。
图片来源:公共图片库
A.5.7威胁情报
威胁情报提供对组织威胁环境的洞察,以便采取适当的缓解措施。根据ISO/IEC 27002:2022,“应收集和分析与信息安全威胁相关的信息,以生成威胁情报”。对于企业来说,收集和分析有关现有和/或新出现的威胁的信息至关重要,以促进明智的行动,防止威胁造成伤害并减少其影响。组织还应在相互的基础上与外部组织共享情报,以改进整体威胁情报。
从 ISO 的角度来看,不需要任何文档;但是,在供应商安全策略、事件管理程序和安全操作程序中纳入有关威胁情报的规则是有益的。
A.5.23使用云服务的信息安全
这是一种预防性控制措施,用于确定和管理使用云服务的信息安全性。根据ISO/IEC 27001:2022所要求的,“应根据组织的信息安全要求建立获取、使用、管理和退出云服务的流程”。组织应制定与云服务使用相关的特定主题策略,并将其传达给所有相关的利益方。这可能包括定义和传达企业计划如何管理与使用云服务相关的信息安全风险。云服务的使用可能涉及信息安全的共同责任以及云服务提供商(CSP)和作为云服务客户(CSC)的组织之间的协作努力。必须适当地定义和落实CSP和CSC的职责。与信息安全和公共云服务相关的细节在标准 ISO/IEC 27017:2015 中进行了描述。与充当 PII 处理器的公共云中的个人身份信息(PII)保护相关的细节在标准 ISO/IEC 27018:2019 中进行了描述。
从ISO的角度来看,不需要任何文档;但是,最好在供应商安全策略中包含有关云服务的规则,并记录指定获取、使用、管理和退出云服务的流程和程序。
图片来源:公共图片库
A.5.30 ICT为业务连续性做好准备
这是一种纠正性控制,目的是确保组织的信息和其他相关资产在中断期间的可用性。根据ISO/IEC 27002: 2022,“[信息和通信技术] (ICT)准备情况应根据业务连续性目标和ICT连续性要求进行规划、实施、维护和测试”。ICT为业务连续性做好准备,确保组织的目标在中断期间能够继续实现。根据涉及ICT服务的业务影响分析(BIA)和风险评估的产出,组织应确定并选择ICT连续性战略,考虑中断之前,期间和之后的选项。有关业务连续性管理系统的进一步指南,请参阅 ISO 22301: 2019和 ISO 22313: 2020 标准。有关BIA的进一步指南,请参见 ISO/技术委员会(TS)22317: 2021。
从ISO的角度来看,没有强制要求的文档;但是,必须将ICT的准备情况纳入灾难恢复计划和内部审计报告。此外,如果组织正在实施或已经实施ISO 22301标准,则应通过BIA、业务连续性策略、业务连续性计划(BCP)以及业务连续性测试计划和报告来记录准备情况。
A.7.4物理安全监测
这是一种预防和检测控制,旨在检测和阻止未经授权的物理访问。根据 ISO/IEC 27002:2022,“应持续监控场所是否存在未经授权的物理访问”。需要监视敏感区域,以便只有授权人员才能进入。物理场所应由监视系统、入侵者警报和/或视频监控系统等设备监控。监控系统的设计应保密,因为披露信息可能会助长未被发现的闯入。还必须保护监控系统免受未经授权的访问,以防止未经授权的人员访问监控信息或远程禁用系统。任何监控和录制机制的使用都应考虑当地法律法规,包括数据和PII保护立法,特别是关于人员监控和录制视频保留期的法规。
从ISO的角度来看,不需要任何文档。
图片来源:公共图片库
A.8.9配置管理
这是一种预防性控制措施,可确保硬件、软件、服务和网络在所需的安全设置下正常运行,并且配置不会因未经授权或不正确的变更而更改。根据ISO/IEC 27002: 2022,“应建立、记录、实施、监控和审查硬件、软件、服务和网络的配置,包括安全配置。有必要定义和实施流程和工具,以在新安装的系统和操作系统的生命周期内为硬件、软件、服务(包括云服务)和网络强制执行定义的配置(包括安全配置)。角色、职责和程序应到位,以确保对所有配置更改的满意控制。应定义安全配置的标准模板。应记录已建立的配置,并应维护所有配置更改的日志。这些记录应安全存储。应使用一套全面的系统管理工具监视配置,并应定期进行审查。
从ISO的角度来看,必须记录此控制。这可以记录为标准操作程序,也可以定义单独的配置流程。此外,对配置的所有更改应记录日志以支持审计跟踪。
结论
ISO/IEC 27002: 2022反映了不断发展的技术和工业实践的进步。更新版本使标准更加简化和易于使用。尽管组织在采用更新的标准之前有一段时间的宽限期,但我建议组织可以根据最新版本开展所需的任务。
趋势与观点 | 未来已来,你准备好了吗?——人工智能嵌入GRC与安全运营迫在眉睫
趋势与观点 | 利用COBIT和NIST网络安全框架提高企业关键IT系统的网络弹性
编者按: 本文于2023年2月15日首次发表 于ISACA官网News and Trends/Newsletter/@ISACA。文章内容仅代表作者本人观点。
作者:Hafiz Sheikh Adnan Ahmed, CGEIT, CDPSE, GDPR-Certified Data Protection Officer, ISO MS Lead Auditor, ISO MS Lead Implementer,是信息和通信技术(ICT)治理、网络安全、业务连续性和组织弹性、数据隐私和保护、风险管理、企业卓越和创新以及数字和战略转型等领域的分析思想家、作家、认证培训师、全球导师和顾问。
翻译:李京(Randy Li),CGEIT,ISACA微信公众号特邀通讯员,关注IT治理、信息安全。
校对:张锋,CISA,CIA、CISP、ISACA微信公众号特邀通讯员。