新版ISO 27002:2022出爐，資安控制措施正式修訂為4大類93項

去年底，傳出國際資安標準ISO 27002改版在即的消息，在2月15日，新版ISO 27002:2022悄悄發布。在國際標準組織（ISO）網站上，我們可看到此標準目前已邁入60.60修訂階段，這也是ISO27002推出後的第二度改版——在此之前，這套標準有最初發布的2005年版，以及後續改進的2013年版。

同時，ISO 27001的改版動向也備受關注，雖然ISO官網上未顯示2022版資訊，但根據英國標準協會臺灣BSI表示，後續新版將進行部分修訂，改版時間不會太長，目前預估是今年下半就會發布。

新版管控項目將結構精簡，聚焦讓組織採用更容易

基本上，ISO 27002是資訊安全管理系統（ISMS）的實務指導文件，並作為ISO/IEC 27001國際標準附錄A的詳細參考資訊，提供控制措施選擇的具體參考。

這次ISO 27002改版計畫，從2018年開始啟動，直到去年草案版本發布，開始受到各界關注，畢竟距離上一版本的推出相隔8年，如今ISO 27002:2022版修訂完成，正式發布。

關於新版的變化，BSI表示，首先，標準名稱改為「資訊安全、網路安全及隱私保護－資訊安全控制措施」，以更符合現代的資安管理需求。

其次，在內容的修訂上，ISO 27002:2022的修訂目標，聚焦於讓組織更容易採用，並確保必要控制措施不會忽略。

簡單來說，新版簡化控制措施架構，從原有的14條款類別，重新調整為4大類別，分別是組織控制、人員控制、實體控制與技術控制，而整體控制項目則從114個減到93個，藉此強化資安管控有效性，並將不適合當前環境的內容刪除，當中更新58個控制項目，並將多個控制項目併為24個控制項目，並新增11個控制項目。

這些新增項目，主要是為對應當前的網路攻擊手法與樣態，控制項目包含了威脅情資、雲端服務使用的資安、資通訊技術營運持續整備、實體安全監控、組態管理、資訊刪除、資料遮罩、資料外洩防護、活動檢視、網站過濾與安全程式碼撰寫，以確保組織能持續具有能力，控制自身的資訊安全。

新版現在也增加屬性標籤，包括控制類型（預防、偵測與矯正）、資安特性（機密性、完整性、可用性，CIA）、網路安全概念（識別、保護、偵測、回應、復原，NIST CSF）、執行能力，以及安全領域。讓企業組織可從不同角度，快速過濾相關控制措施，以及執行排序呈現，讓組織更方便找出相關控制要求。

目前看來，新版正式發布內容與草案版本大致相當，不過我們發現，在這93項控制措施中，8.22 Segregation in networks，與8.23 Web filtering，兩者的順序對調，與草案版本不同。BSI表示，其實在最終草案版本時，條文順序就已變動。

另一個標準ISO 27001改版時程終於明朗

至於各界關注的ISO 27001改版時程，BSI表示，目前獲知的時間在2022年第三季到第四季，可能與後續投票時程有關，若有進展會再更新。

至於ISO 27001預估將修訂的內容，主要依據ISO/IEC 27002:2022修訂部分，反映於ISO/IEC 27001的附件A，也將涵蓋2014年與2015年發布的2個小勘誤。

由於ISO 27002:2022已經發布，新版ISO 27001也預期會在今年修訂完成，對於已取得ISO 27001驗證的企業組織而言，除了可準備轉版認證審查，確保企業驗證範圍的控制措施與資訊安全管理系統符合新版的標準，也應朝向全公司驗證範圍目標邁進；而正在導入實施ISMS或進行ISO/IEC 27001驗證的企業，現在也可選擇參考ISO/IEC 27002:2022。

BSI表示，由於每個標準改版的幅度不同，根據過往經驗，新標準正式公布後，企業組織都會有2到3年的時間來進行改版；若組織能力與預算可行，先以新版ISO 27002:2022的指引來著手接下來的資安工作，是可以這麼做。

關於ISO 27001的相關消息，後續我們在ISO官方網站找到相關資訊，目前ISO 27001:2013版已有增修1草案（DAMD 1），目前進度是2022年2月3日的40.20階段，目前正進行草案（DIS）版本投票。

10月26日更新 

隨著國際資安標準ISO 27002:2022出爐，ISO 27001的改版動向屢屢受到關注，在10月25日，新版ISO 27001:2022正式發布