2022年2月,ISO(國際標(biāo)準(zhǔn)化組織)更新發(fā)布了ISO/IEC 27002:2022信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)-信息安全控制,以作為組織根據(jù)信息安全管理體系認(rèn)證標(biāo)準(zhǔn)定制和實(shí)施信息安全控制措施的指南。新版標(biāo)準(zhǔn)在2013年ISO/IEC 27002:2013的標(biāo)準(zhǔn)基礎(chǔ)上進(jìn)行了一系列的完善和補(bǔ)充,本文就此展開解讀。
01、27000體系介紹
ISO/IEC 27000標(biāo)準(zhǔn)是由國際標(biāo)準(zhǔn)化組織(ISO)及國際電工委員會(IEC)聯(lián)合定制的一套標(biāo)準(zhǔn),該標(biāo)準(zhǔn)系列由最佳實(shí)踐所得并提出對于信息安全管理的建議,包含了信息安全管理體系概述和詞匯、信息安全管理體系實(shí)施指南、信息安全風(fēng)險(xiǎn)管理、信息安全管理系統(tǒng)驗(yàn)證機(jī)構(gòu)認(rèn)證規(guī)范、信息安全管理體系規(guī)范與使用指南、信息安全管理實(shí)用規(guī)則等一系列的信息安全管理系統(tǒng)領(lǐng)域中的風(fēng)險(xiǎn)及相關(guān)管控。
圖1 ISO27000發(fā)展歷史
27001是信息安全管理體系(ISMS),27002是用于實(shí)施時(shí)選擇控制措施時(shí)參考,或作為組織實(shí)施信息安全控制措施的指南,最新版本由信息技術(shù)聯(lián)合技術(shù)委員會信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)分委員會編寫,最新版本于2022年發(fā)布,同時(shí)廢止舊版本27002:2013。
02、2022版與2013版的主要區(qū)別
ISO/IEC27002:2022版本于2022年2月發(fā)布,新版本與2013版本發(fā)生了較大的改變,主要是在標(biāo)題中刪除了“最佳實(shí)踐”的叫法,標(biāo)準(zhǔn)名稱改為“信息安全、網(wǎng)絡(luò)安全及隱私保護(hù)-信息安全控制”;總體框架變?yōu)楸容^簡單的分類;增加了控制措施的相關(guān)屬性;一些控制措施被合并,一些被刪除。
1)重構(gòu)整體總體框架
修訂后的2022版對框架結(jié)構(gòu)進(jìn)行了重新構(gòu)建,合并了2013版的14個(gè)變?yōu)?個(gè)主題,控制項(xiàng)數(shù)量從2013版的114個(gè)減少到93個(gè)。
圖2 2013版和2022版總體框架對比
解讀:2022版將控制措施分配到組織、人員、物理、技術(shù)的四個(gè)大主題,簡單的主題使分類更加簡單,這樣方便了組織對安全控制點(diǎn)進(jìn)行選擇歸類,可以通過歸類的特定主題策略支持信息安全策略,以加強(qiáng)信息安全控制的實(shí)施。
2)新增控制措施屬性
修訂后的2022版對控制措施增加了5個(gè)屬性,分別為控制類型、信息安全屬性、網(wǎng)絡(luò)概念、運(yùn)營能力和安全域5個(gè)屬性。
圖3 27002 2022 新增的屬性和屬性值
解讀:2022版本的屬性是從安全控制措施的不同場景和角度進(jìn)行描述和分類,以便通過屬性來創(chuàng)建不同場景和角度的安全視圖,以了解適合自己的信息安全控制的最佳實(shí)踐。
圖4 控制類型屬性(預(yù)防、監(jiān)測、糾正)分配情況
比如:控制類型屬性是從事件的時(shí)間(發(fā)生之前、期間或之后)的角度來進(jìn)行描述控制措施。信息安全屬性是從信息安全涉及保護(hù)信息的特征來對安全控制措施進(jìn)行描述。網(wǎng)絡(luò)安全屬性是從事件發(fā)生前、期間和之后網(wǎng)絡(luò)安全活動(dòng)的角度對安全控制措施進(jìn)行描述。運(yùn)營能力屬性是從信息安全運(yùn)行的控制的角度對安全控制措施進(jìn)行描述。
3)新增11個(gè)安全控制項(xiàng)
2022版本相對于2013增加了11個(gè)安全控制項(xiàng),增加的控制項(xiàng)主要集中在組織控制主題和技術(shù)控制主題,組織控制主題中增加了云、威脅情報(bào)、以及業(yè)務(wù)連續(xù)性的控制點(diǎn),而技術(shù)控制主題主要是增加了關(guān)于數(shù)據(jù)安全等控制點(diǎn)。
圖5 2022版新增控制點(diǎn)分布情況
解讀:在目前的數(shù)字化轉(zhuǎn)型、網(wǎng)絡(luò)安全威脅復(fù)雜的背景下,2022版增加了對企業(yè)的業(yè)務(wù)安全、數(shù)據(jù)安全、云安全和信息安全的持續(xù)控制。
業(yè)務(wù)安全。在業(yè)務(wù)越來越依賴信息化的時(shí)代背景,2022加強(qiáng)了對業(yè)務(wù)連續(xù)性的支持,如增加了“5.30信息通信技術(shù)為業(yè)務(wù)連續(xù)性做好準(zhǔn)備”的控制項(xiàng),確保組織信息和其他相關(guān)資產(chǎn)的可用性中斷的管理。
數(shù)據(jù)安全。在數(shù)據(jù)監(jiān)管要求越來越嚴(yán)格的背景下,2022版本加強(qiáng)了企業(yè)對數(shù)據(jù)安全的管理控制,比如增加了“8.10信息刪除”、“8.12數(shù)據(jù)泄露”、“8.11數(shù)據(jù)屏蔽” 控制項(xiàng)。防止敏感信息暴露,并遵守有關(guān)信息刪除的法律、法規(guī)、監(jiān)管和合同要求。
云安全。針對越來越多的企業(yè)開展上云業(yè)務(wù)、并越來越多地自開發(fā)應(yīng)用,2022版本加強(qiáng)了云服務(wù)的安全管理等,比如“5.23使用云服務(wù)的信息安全”、“5.23使用云服務(wù)的信息安全”,為使用云服務(wù)指定和管理信息安全。
信息安全。在APT等網(wǎng)絡(luò)威脅和攻擊越來越多的前提和背景下,2022版本加強(qiáng)了威脅情報(bào)、監(jiān)測監(jiān)控、應(yīng)用安全方面提出要加強(qiáng)對組織威脅環(huán)境的認(rèn)識,如增加了“5.7威脅情報(bào)”的控制項(xiàng),以便對威脅采取適當(dāng)?shù)木徑獯胧<訌?qiáng)企業(yè)對軟硬件環(huán)境和安全事件的監(jiān)控控制和管理,避免未授權(quán)訪問和變更,如增加“8.16監(jiān)測活動(dòng)”。檢測異常行為和潛在的信息安全事件。
同時(shí)增加“7.4物理安全監(jiān)控”和“8.9配置管理”。檢測和阻止未經(jīng)授權(quán)的物理訪問?!?.23網(wǎng)頁過濾”,保護(hù)系統(tǒng)免受惡意軟件的破壞并防止訪問未經(jīng)授權(quán)的網(wǎng)絡(luò)資源?!?.28安全編碼”,確保軟件編寫安全,從而減少軟件中潛在信息安全漏洞的數(shù)量。
03、2022版重大控制變化解讀
1)加強(qiáng)對業(yè)務(wù)連續(xù)性的支持
增加和強(qiáng)調(diào)了對業(yè)務(wù)連續(xù)性的支持,包括企業(yè)應(yīng)根據(jù)業(yè)務(wù)連續(xù)性目標(biāo)和ICT連續(xù)性要求來識別和選擇ICT連續(xù)性戰(zhàn)略,規(guī)劃、實(shí)施、維護(hù)和測試ICT準(zhǔn)備情況,確保組織信息和其他相關(guān)資產(chǎn)的可用性中斷。比如在業(yè)務(wù)連續(xù)性管理過程中確定在中斷期間調(diào)整信息安全控制的要求,以在中斷期間保護(hù)信息和其他相關(guān)資產(chǎn)(見5.29 中斷期間的信息安全)。
信息安全事件應(yīng)按照文件化程序進(jìn)行響應(yīng),包括危機(jī)管理活動(dòng)和業(yè)務(wù)連續(xù)性計(jì)劃(見5.29和5.30),確保高效、有效地應(yīng)對信息安全事件。比如設(shè)計(jì)和實(shí)施具有適當(dāng)冗余的系統(tǒng)架構(gòu),為業(yè)務(wù)連續(xù)性做好準(zhǔn)備,尤其是在需要較短恢復(fù)時(shí)間的情況下。許多冗余措施可以成為ICT連續(xù)性戰(zhàn)略和解決方案的一部分(見8.14信息處理設(shè)施的冗余)。
2)加強(qiáng)云環(huán)境云服務(wù)的安全管理
云環(huán)境下的IT概念與傳統(tǒng)環(huán)境大不相同,這導(dǎo)致了云環(huán)境的安全管理也有很大區(qū)別,主要建議包括針對云服務(wù)的政策、云上資產(chǎn)管理、云上數(shù)據(jù)的安全管理和云服務(wù)供應(yīng)鏈的管理。
建立云服務(wù)特定政策,管理云服務(wù)信息安全。比如定義與使用云服務(wù)相關(guān)的所有相關(guān)信息安全要求;云服務(wù)選擇標(biāo)準(zhǔn)和云服務(wù)使用范圍等,同時(shí)云服務(wù)協(xié)議的特點(diǎn)是預(yù)先定義的,不接受談判,因此對于云服務(wù),組織應(yīng)審查與云服務(wù)提供商的云服務(wù)協(xié)議,以滿足組織的機(jī)密性、完整性、可用性和信息處理要求,并具有適當(dāng)?shù)脑品?wù)水平目標(biāo)和云服務(wù)質(zhì)量目標(biāo)。并應(yīng)進(jìn)行相關(guān)的風(fēng)險(xiǎn)評估,以識別與使用云服務(wù)相關(guān)的風(fēng)險(xiǎn)。
加強(qiáng)云上資產(chǎn)管理。在云環(huán)境下將資產(chǎn)視為動(dòng)態(tài),比如可將VM等視為一組動(dòng)態(tài)短期資產(chǎn);對于公共云服務(wù)等第三方資產(chǎn)加以控制;關(guān)注協(xié)作工作環(huán)境的安全,確保云環(huán)境的相關(guān)資產(chǎn)得到適當(dāng)?shù)谋Wo(hù)、使用和處理(見5.9 信息清單和其他相關(guān)資產(chǎn))。
開展數(shù)據(jù)傳輸?shù)陌踩芾?,比如在使用云存儲等外部公共服?wù)之前應(yīng)獲得批準(zhǔn),保證組織和與任何外部相關(guān)方傳輸?shù)男畔⒌陌踩?見5.14 信息傳遞)。
云服務(wù)供應(yīng)鏈的管理。應(yīng)定義和實(shí)施流程和程序,以管理云服務(wù)供應(yīng)鏈相關(guān)的信息安全風(fēng)險(xiǎn),在供應(yīng)商關(guān)系中保持商定的信息安全水平。如定義適用于云服務(wù)的信息安全要求,在整個(gè)供應(yīng)鏈中傳播組織的安全要求等(5.21管理ICT 供應(yīng)鏈中的信息安全)。
其他云環(huán)境應(yīng)關(guān)注的還包括使用過程中,應(yīng)關(guān)注云環(huán)境的安全配置、云上數(shù)據(jù)的備份、日志記錄、云環(huán)境的時(shí)鐘同步、云環(huán)境的測試等安全問題。
3)加強(qiáng)個(gè)人數(shù)據(jù)、隱私數(shù)據(jù)等敏感數(shù)據(jù)的安全
國家越來越重視對數(shù)據(jù)的安全,并出臺了數(shù)據(jù)安全法,各行業(yè)加強(qiáng)了監(jiān)管,出臺個(gè)人隱私等敏感數(shù)據(jù)政策,數(shù)據(jù)安全的保護(hù)變得越來越重要。2022版針對這種背景,對個(gè)人信息、隱私數(shù)據(jù)等敏感信息補(bǔ)充了關(guān)于數(shù)據(jù)的存儲和刪除、數(shù)據(jù)屏蔽、數(shù)據(jù)傳輸?shù)葦?shù)據(jù)全生命周期的控制措施和最佳實(shí)踐。
數(shù)據(jù)的存儲和刪除,敏感信息的保存時(shí)間不應(yīng)超過減少不良風(fēng)險(xiǎn)所需的時(shí)間披露。應(yīng)對數(shù)據(jù)刪除進(jìn)行監(jiān)控,最佳實(shí)踐是利用日志跟蹤或驗(yàn)證這些刪除過程是否已發(fā)生。對于供應(yīng)商應(yīng)確定并應(yīng)用控制措施來管理供應(yīng)商對信息和其他相關(guān)資產(chǎn)的訪問。例如,供應(yīng)商協(xié)議涉及跨境傳輸或訪問信息時(shí)的個(gè)人數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)(見8.10信息刪除)。
使用數(shù)據(jù)屏蔽,限制敏感數(shù)據(jù)的暴露,以滿足合法合規(guī)性,最佳實(shí)踐是使用數(shù)據(jù)屏蔽、假名化或匿名化等技術(shù)隱藏此類數(shù)據(jù)(見8.11數(shù)據(jù)屏蔽)。
在處理、存儲或傳輸敏感信息時(shí),使用數(shù)據(jù)泄露預(yù)防措施檢測和防止個(gè)人或系統(tǒng)未經(jīng)授權(quán)披露和提取信息。比如識別和分類信息以防止泄漏(例如個(gè)人信息、定價(jià)模型和產(chǎn)品設(shè)計(jì);監(jiān)控?cái)?shù)據(jù)泄漏渠道等(見8.12數(shù)據(jù)泄露預(yù)防)。
4)提高自動(dòng)化技術(shù)水平和利用自動(dòng)化工具
在對安全管理要求越來越高,控制措施越來越嚴(yán)格的同時(shí),2022建議利用自動(dòng)化工具來減低安全控制措施的實(shí)施成本。比如在職責(zé)管理時(shí),可使用自動(dòng)化工具來識別角色沖突并促進(jìn)將其刪除。在信息資產(chǎn)清單管理時(shí),可利用自動(dòng)化工具自動(dòng)執(zhí)行庫存更新。在審查時(shí),可以使用自動(dòng)測量和報(bào)告工具進(jìn)行有效的定期審查。在終端設(shè)備管理時(shí),可通過自動(dòng)化工具來實(shí)施用戶終端設(shè)備信息的保護(hù)。
在惡意軟件防范時(shí),可以對系統(tǒng)的軟件和數(shù)據(jù)內(nèi)容進(jìn)行定期自動(dòng)驗(yàn)證;對于配置管理,偏差可通過自動(dòng)化有效地進(jìn)行,自動(dòng)糾正已定義的目標(biāo)配置。在數(shù)據(jù)屏蔽時(shí),可以使用自動(dòng)化和規(guī)則來動(dòng)態(tài)實(shí)時(shí)保護(hù)數(shù)據(jù);在對應(yīng)用程序管理時(shí),可使用自動(dòng)化控制權(quán)限的批準(zhǔn)(例如批準(zhǔn)限制或雙重批準(zhǔn))等。
04、總結(jié)和建議
2022版的框架簡單,易于讀者對信息安全控制進(jìn)行分類;同時(shí)增加了控制的屬性,可用來實(shí)現(xiàn)特定主題的劃分和選擇,針對性更強(qiáng),以幫助企業(yè)加強(qiáng)信息安全控制的實(shí)施,支撐信息安全策略;并且2022版指導(dǎo)的安全控制內(nèi)容更加詳細(xì)和具體,使企業(yè)更容易實(shí)現(xiàn)安全控制的落地。
對于2022版本的出臺,我們建議企業(yè)應(yīng)根據(jù)2022的最新框架對組織及時(shí)開展風(fēng)險(xiǎn)評估,并選擇必要合適的控制措施來維護(hù)信息安全、云安全和數(shù)據(jù)安全,做好安全控制升級的計(jì)劃和實(shí)施,以確保您的控制和ISMS符合更新的標(biāo)準(zhǔn),確保組織能有效應(yīng)對目前最新的風(fēng)險(xiǎn)。
- 首先利用新的架構(gòu)對風(fēng)險(xiǎn)進(jìn)行評估,確定風(fēng)險(xiǎn)和控制要求。
- 根據(jù)風(fēng)險(xiǎn)控制對屬性進(jìn)行篩選和確認(rèn)確定合適的安全控制措施,關(guān)注關(guān)注國家、行業(yè)的信息安全相關(guān)的法律、法規(guī)、法規(guī)和合同要求,制定信息安全管理系統(tǒng)(ISMS)的管理組織架構(gòu)和制度規(guī)定。
- 加強(qiáng)風(fēng)險(xiǎn)管理,降低信息安全漏洞的可能性。
- 制定和監(jiān)測與屬性相關(guān)的指標(biāo)。
- 使用屬性(和風(fēng)險(xiǎn)控制要求)作為基礎(chǔ),開展評估、審查和審計(jì)。
- 總結(jié)經(jīng)驗(yàn)和持續(xù)改進(jìn)。
版權(quán)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn),該文觀點(diǎn)僅代表作者本人。本站僅提供信息存儲空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如發(fā)現(xiàn)本站有涉嫌抄襲侵權(quán)/違法違規(guī)的內(nèi)容, 請發(fā)送郵件至 舉報(bào),一經(jīng)查實(shí),本站將立刻刪除。