https://www.trustqb.com.cn

ISO27001:2022标准的主要变化与难点提示

新版标准《ISO27001:2022信息安全、网络安全及隐私保护—信息安全管理体系—要求》相较2013版标准主要有三个方面的变化，如下图所示：

01

ISO27001:2022标准名称变化的解读

（1）新版标准ISO27001信息安全管理标准名称从“信息安全”扩展至“信息安全、网络安全及隐私保护”，有关标准名称修订背景已在本文上两期进行了详细介绍。新版标准名称中“网络安全”的“网络”一词，更确切的意思是指“网络空间”，即英文“Cyberspace”的概念。在英文语境中，Cyber和Network这两个不同的字分别表达两个不同的概念，但这两个不同的英文字翻译成中文时使用了同一个词“网络”，这就造成在理解标准时存在一定的困惑，因为“Network（网络）”与”Cyber（网络）”概念的是不同的。百度百科对网络（Network）的解释是这样的：网络是由若干节点和连接这些节点的链路构成，表示诸多对象及其相互联系。而要解释Cyber（网络）这个概念却存在一定困难，Cyber（网络）通常指Cyberspace（网络空间），对这个字的解释往往各种说法都用，西方一些学者甚至认为Cyberspace（网络空间）本身就是一个捉摸不定、边界不明的概念，企图找一个确切的说法或“语言绑定”都很难有确定的结果。如此，大家也都在用Cyber（网络）这个字来表达比Network（网络）更广泛的概念，例如：我国于2017年正式实施的《网络安全法》英文官方译文为“CybersecurityLaw”，熟悉这份法规的读者都了解《网络安全法》不仅仅包含“网络（Network）安全”的内容，也包含计算机终端、应用、网络基础设施、个人信息各方面安全内容。为便于正确理解这两个字，目前国内翻译界也建议将Cyber的中文翻译用音译字“赛博”来表达，从而区分与“网络（Network)”不同的概念。

（2）在隐私保护方面，tp钱包下载app官网正版标准的修订响应了世jie各国陆续发布个人隐私保护相关法规的趋势， tp钱包官网下载app下图给出了这些年来全球主要国家/地区在个人隐私保护方面的立法情况：

02

ISO27001:2022标准“体系要求”修订的解读

（1）用于认证的ISO27001（信息安全管理体系-要求）包含了两部分内容，即：“管理体系部分”与“附件控制措施部分”。新版ISO27001体系要求部分变化并不大，体系要求的核心条款内容如下图所示：

（2）ISO27001:2022标准体系要求的主要修订如下：

对体系要求的高阶架构进行了修正，主要体现在内审与管理评审章节增加了小标题。

在“6.2目标目标及其实现的策划”中增加对目标进行监视的要求，监视意味着需要对信息安全管理目标的达成情况进行实时动态监督。

在“6 策划”部分增加了6.3 变更管理，与其他管理体系标准要求一致。

在“7.4 内外部沟通”部分强调“如何进行沟通”。

在“8.1运行策划与控制”部分强调运行过程的规范性和有效性，标准特别说明“为运行过程制定准则，并对运行过程进行控制”。

标准整体上强调文件化与记录作为体系运行实施的证据，即为体系运行的有效性提供可审计的痕迹。

03

ISO27001:2022标准“控制措施”修订的解读

（1）ISO27001信息安全管理标准的控制措施主要变化包括：

信息安全控制措施主题分类与数量的变化：

—新版标准取消了信息安全控制措施域（即以往标准中将信息安全控制措施划分为14个控制域），控制措施按照4个控制主题来划分（人员、物理、技术、组织）。

—在控制措施数量上发生变化，新版标准控制措施数量目前为93项，其中新增11项控制措施、合并23项控制措施、更新修订34项控制措施。

— 有关新版标准控制措施在主题分类与数量上的变化见下图所示：

新版标准新增了11项控制措施，需要特别关注的控制措施包括：

— 威胁情报：组织应收集和分析与信息安全威胁有关的信息以制作威胁情报，其目的是确保组织及时了解与业务相关的威胁环境；

— 使用云服务的信息安全：根据组织的信息安全要求，建立云服务的获取、使用、管理和退出的过程。

— 信息删除、数据屏蔽及数据防泄漏：这三条新增的控制措施要求组织识别并管控各类敏感信息，以确保敏感信息（特别是个人隐私信息）合规与安全。

标准新增的11项控制措施详细内容如下图所示：

（2）ISO27001信息安全管理标准的控制措施理解难点提示：

(a)由于新版标准的控制措施部分取消了大家习惯的14个控制域（例如：人力资源、信息资产、物理与环境安全、通信与运行控制等等），所有控制措施按照4个分类主题重新进行划分，这样的变化使得对控制措施的理解存在一些难点，诸如：

— 同一主题类别的控制措施之间缺乏关联关系，例如：在技术主题类别8.8技术脆弱性管理、8.9配置管理、8.10信息删除这三条控制措施之间并没有必然的逻辑联系。

—不同类别主题的控制措施数量非常不平衡以至于使用者可能会困惑主题划分的意义，例如“人员主题”类别的控制措施只有8条，而在“技术主题”类别的控制措施多达34条。

— 由于对每条控制措施不再描述控制目的，使用者在理解每条控制措施时可能会疑惑组织为什么要应用这条控制措施？

(b) 事实上，在ISO27001:2022信息安全管理体系标准发布前，国ji标准化组织（ISO）已发布了指南性标准《ISO27002:2022信息安全、网络安全及隐私保护 —信息安全控制措施》。为了更好地帮助组织理解并应用各项信息安全控制措施，ISO27002:2022标准定义了每一项控制措施5大属性，即：

— 控制措施类型：预防性、监测性、纠正性

— 信息安全特性：保密性、完整性与可用性

— 网络安全概念：识别、保护、侦测、响应及恢复

— 运营能力：治理、资产管理、信息保护、人力资源安全、物理安全、系统和网络安全等15项

— 安全域：包括治理和生态系统，保护，防御与韧性等方面 ，从信息安全领域、专业知识、服务和产品的角度看待控制措施属性。

— ISO27002:2022增加上述信息的目的是建议企业结合自身业务对信息安全管理的需求选择不同的控制视图（即基于网络安全的控制视图、基于运营能力的控制视图以及基于安全域的控制视图）来应用各项控制措施。但这样的指南性要求并不能作为强制性认证要求纳入认证标准中，目前的ISO27001:2022认证标准中并没有包含上述信息，这也使得不了解ISO27002:2022标准的使用者在接触ISO27001:2022标准控制措施时错误地认为“标准修订后更简单”了。要真正理解并有效应用ISO27001:2022认证标准，应理解ISO27002:2022标准每一条控制措施属性（控制类型、信息安全属性、网络安全概念、运营能力以及安全领域），从中识别与企业自身业务相关的信息安全管理需求，蕞终建立适用于企业业务特点的信息安全管理控制视图。

(c) ISO27002:2022指南性标准针对每一项控制措施所定义属性（控制类型、信息安全属性、网络安全概念、运营能力与安全领域）如下图所示：

(d)新增的控制措施涉及到隐私保护、网络安全、云服务安全等领域，企业需要学习与个人隐私保护、网络安全以及云服务安全管理相关的标准，才能更好地理解新版标准中新增的控制措施要求。