去年底,傳出國際資安標準ISO 27002改版在即的消息,在2月15日,新版ISO 27002:2022悄悄發布。在國際標準組織(ISO)網站上,我們可看到此標準目前已邁入60.60修訂階段,這也是ISO27002推出後的第二度改版——在此之前,這套標準有最初發布的2005年版,以及後續改進的2013年版。
同時,ISO 27001的改版動向也備受關注,雖然ISO官網上未顯示2022版資訊,但根據英國標準協會臺灣BSI表示,後續新版將進行部分修訂,改版時間不會太長,目前預估是今年下半就會發布。
新版管控項目將結構精簡,聚焦讓組織採用更容易
基本上,ISO 27002是資訊安全管理系統(ISMS)的實務指導文件,並作為ISO/IEC 27001國際標準附錄A的詳細參考資訊,提供控制措施選擇的具體參考。
這次ISO 27002改版計畫,從2018年開始啟動,直到去年草案版本發布,開始受到各界關注,畢竟距離上一版本的推出相隔8年,如今ISO 27002:2022版修訂完成,正式發布。
關於新版的變化,BSI表示,首先,標準名稱改為「資訊安全、網路安全及隱私保護-資訊安全控制措施」,以更符合現代的資安管理需求。
其次,在內容的修訂上,ISO 27002:2022的修訂目標,聚焦於讓組織更容易採用,並確保必要控制措施不會忽略。
簡單來說,新版簡化控制措施架構,從原有的14條款類別,重新調整為4大類別,分別是組織控制、人員控制、實體控制與技術控制,而整體控制項目則從114個減到93個,藉此強化資安管控有效性,並將不適合當前環境的內容刪除,當中更新58個控制項目,並將多個控制項目併為24個控制項目,並新增11個控制項目。
這些新增項目,主要是為對應當前的網路攻擊手法與樣態,控制項目包含了威脅情資、雲端服務使用的資安、資通訊技術營運持續整備、實體安全監控、組態管理、資訊刪除、資料遮罩、資料外洩防護、活動檢視、網站過濾與安全程式碼撰寫,以確保組織能持續具有能力,控制自身的資訊安全。
新版現在也增加屬性標籤,包括控制類型(預防、偵測與矯正)、資安特性(機密性、完整性、可用性,CIA)、網路安全概念(識別、保護、偵測、回應、復原,NIST CSF)、執行能力,以及安全領域。讓企業組織可從不同角度,快速過濾相關控制措施,以及執行排序呈現,讓組織更方便找出相關控制要求。
目前看來,新版正式發布內容與草案版本大致相當,不過我們發現,在這93項控制措施中,8.22 Segregation in networks,與8.23 Web filtering,兩者的順序對調,與草案版本不同。BSI表示,其實在最終草案版本時,條文順序就已變動。
另一個標準ISO 27001改版時程終於明朗
至於各界關注的ISO 27001改版時程,BSI表示,目前獲知的時間在2022年第三季到第四季,可能與後續投票時程有關,若有進展會再更新。
至於ISO 27001預估將修訂的內容,主要依據ISO/IEC 27002:2022修訂部分,反映於ISO/IEC 27001的附件A,也將涵蓋2014年與2015年發布的2個小勘誤。
由於ISO 27002:2022已經發布,新版ISO 27001也預期會在今年修訂完成,對於已取得ISO 27001驗證的企業組織而言,除了可準備轉版認證審查,確保企業驗證範圍的控制措施與資訊安全管理系統符合新版的標準,也應朝向全公司驗證範圍目標邁進;而正在導入實施ISMS或進行ISO/IEC 27001驗證的企業,現在也可選擇參考ISO/IEC 27002:2022。
BSI表示,由於每個標準改版的幅度不同,根據過往經驗,新標準正式公布後,企業組織都會有2到3年的時間來進行改版;若組織能力與預算可行,先以新版ISO 27002:2022的指引來著手接下來的資安工作,是可以這麼做。
關於ISO 27001的相關消息,後續我們在ISO官方網站找到相關資訊,目前ISO 27001:2013版已有增修1草案(DAMD 1),目前進度是2022年2月3日的40.20階段,目前正進行草案(DIS)版本投票。
10月26日更新
隨著國際資安標準ISO 27002:2022出爐,ISO 27001的改版動向屢屢受到關注,在10月25日,新版ISO 27001:2022正式發布
熱門新聞
2024-11-18
2024-11-20
2024-11-12
2024-11-15
2024-11-15
2024-11-19
2024-11-14