ISO27002新版标准变化解读
ISO27000标准概述
什么是信息安全管理?
◆ 信息安全的成败取决于两个因素:技术和管理。
◆ 技术是信息安全的构筑材料,管理是真正的粘合剂和催化剂。
◆ 人们常说,三分技术,七分管理,可见管理对信息安全的重要性。
◆ 信息安全管理(Information Security Management)作为组织完整的管理 体系中一个重要的环节,其主要活动包括:识别信息资产及相关风险,采取恰当 的策略和控制措施以消减风险,监督控制措施有效性,提升人员安全意识等。
◆ 现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因, 不如说是管理不善造成的,理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标来说尤其重要
信息安全管理体系
• 信息安全管理应该是体系化的
• 信息安全必须从整体去考虑,而不是以被动响应安全事件作为信息安全的主要驱动和工作,避免 “头痛医头脚痛医脚”;
• 信息安全管理体系针对组织的信息资产,来指导和控制关于信息安全风险相互协调的活动,应该 成为组织整体经营管理体系的一部分。
• 信息安全管理体系(ISMS)国际通行的标准是 ISO/IEC 27001:2013, 包括14个领域、35个控制目标、114个控制措施
安全控制框架:ISO27000系列标准
◆ 最早是英国标准协会 (British Standards Institute,BSI)制定的信 息安全标准。目前已经成为国际标准。
◆ 由信息安全方面的最佳惯例组成的一套全面的控制集。
◆ 信息安全管理方面最受推崇的国际标准。
ISO/IEC 27001&27002发展历程
标准改版背景
国际标准化组织(ISO组织)遵循所有标准每隔5年必须 进行升级的原则。
当前版本的信息安全管理体系标准ISO 27001:2013与 ISO 27002:2013已经使用了8年。 ISO 27001:2013与ISO 27002:2013版在体系整合、控制项逻辑性与充分性等方面都有改进的空间。
Version:0.9 StartHTML:0000000105 EndHTML:0000001668 StartFragment:0000000141 EndFragment:0000001628
标准改版特点
管理体系更容易整合:在新版标准中采取Annex SL做结构性要求,使信息安全管理体系更容易与其他管理体系融合。
融入企业面临新安全挑战:对部分控制项进行了合并、删除,并且新增了部分控制项以反映当前信息安全发展趋势。
更多指引延伸参考:新增许多指引供企业参考,组织可以通过不同的面以及风险进行深度的强化。
ISO27002:2005-2013内容框架演变
ISO27000标准族
ISO27000标准清单
ISO27002:2022变化解读
ISO 27002:2022变化概览
ISO 27002:2022标准名称变化
ISO27002:2013-2022内容结构变化
ISO27002:2013-2022术语内容变化
ISO 27002:2022控制分类变化
由14个控制域(Domain)变为4个主题(Themes)
ISO 27002:2022新增控制措施
ISO 27002:2022控制措施布局
ISO 27002:2022新增控制属性
控制类型属性
➢ 威慑(Deterrent) 旨在打击潜在的攻击者
➢预防(Preventive)旨在避免发生事件
➢检测(Detective) 确认事件的活动和潜在的入侵者
➢纠正(Corrective)事件发生后,修复部件或系统
➢恢复(Recovery) 目的是使环境恢复正常运作
➢补偿(Compensating) 提供可替代控制措施
信息安全属性
保密性(Confidentiality)—— 确保信息在存储、使用、传输过程中不会泄 漏给非授权用户或实体
完整性(Integrity)—— 确保信息在存储、使用、传输过程中不会被非授权篡改,防止授权用户或实体不恰当地修改信息,保持信息内部和外部的一致性。
可用性(Availability)—— 确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。
网络安全概念属性-IPDRR
运营能力属性
2013版控制域与2022版运营能力对应关系
安全域属性
➢ 治理与生态系统(Governance& Ecosystem)
➢保护(Protection)
➢防御(Defence)
➢恢复力(Resilience)
ISO 27002:2022新增控制视图
ISO 27002:2022控制视图筛选
ISO 27002:2022控制视图筛选
新版本对企业实施ISMS的影响
对认证的影响
对组织信息安全管控的影响
转自刘歆轶ISO27002新版标准变化解读 2022.05
ISO27002新版标准变化解读相关推荐
- 【标准】ISO9001:2015新版标准正式发布
据ISO官网消息,国际标准化组织(ISO)于昨日正式发布了ISO9001:2015新版标准. 9月23日,万众瞩目的ISO9001:2015新版标准正式发布!宣告着第三代管理标准(G3)时代如期应境而 ...
- ISO20000新版标准(2018)主要差异点
目录 一.框架方面 二.标准结构变化 三.新增术语 四.两个定义变化 五.更宏观的IT服务概念 六.文件方面 ISO/IEC 20000新版标准于2018年9月15日发布,我们将ISO/IEC 200 ...
- 新版标准日本语初级最大的硬伤
我认为新版标准日本语初级最大的硬伤就是动词采用ます形而不是原形.理由我想可能是编者认为动词的讲解要在讲完了基本句型.形容词.形容动词之后才展开,但动词的ます会在系统讲解动词之前出现.因此,初级教材里动 ...
- ArchiMate® 3.1 规范:新版标准
2019年11月5日,面向Enterprise Architecture的最新版 ArchiMate 建模语言在阿姆斯特丹 The Open Group 会议上发布.版本 3.1 是对之前主要版本 3 ...
- java word 饼图_[Java教程]echarts标准饼图解读(一)——基本配置demo
[Java教程]echarts标准饼图解读(一)--基本配置demo 0 2016-11-21 17:00:18 echarts标准饼图解读共分为四部分, 一.基本配置demo 二.标题(title) ...
- 新版opencv兼容旧版_【标准换版】关于家用和类似用途电器用外置电源适配器、充电器和内置开关电源产品认证执行新版标准的通知...
各相关认证企业: GB4343.1-2018<家用电器.电动工具和类似器具的电磁兼容要求 第1部分:发射>标准(以下简称"新版标准")已发布,并将于2020年6月1日实 ...
- 中小学计算机课程标准及解读,小学信息技术课课程标准及解读
小学信息技术课课程标准及解读 课程标准 一.课程任务和教学目标 中小学信息技术课程的主要任务是:培养学生对信息技术的兴趣和意识,让学生了解和掌握信息技术基本知识和技能,了解信息技术的发展及其应用对人类 ...
- 中小学计算机课程标准及解读,中小学信息技术课程标准及解读.pdf
中小学信息技术课程标准及解读 知识目标:掌握信息科学,信息技术的基本知识. 技能目标:培养采集.加工以及发布信息等处理信息的基本技能. 情感目标:明确并接受参与未来信息社会特的道德规范与法律法规. 能 ...
- 关于ANSI/ESD S20.20:2021新版标准转换的说明
作者:NQA ESD项目管理 乔老师 15921763713,发布于2022年7月15日 美国静电放电协会ESDA已于2021/12/14正式发布最新版的ESD标准ANSI/ESD S20.20-20 ...
最新文章
- java2018笔试基础题_java基础笔试题
- 第七课 ActionScript 3语言进阶一
- 好多邮箱的SMTP设置
- 汇编语言:实验10 根据材料编程—2.解决除法溢出的问题
- 一些关于直播间人货场的打造干货,直播电商新手必须要了解人货场的概念
- 函数的调用过程——栈帧。
- c语言单片机程序设计例,单片机 C语言 程序设计100例
- AcrelEMS-IDC综合能效管理系统 XXX数据中心案例分享
- VMware vSphere7 with Tanzu 安装方案
- Java是如何存储元素的(3)—Map集合存储数据原理(为什么HashMap集合的key部分的特点是无序,不可重复)
- 易优CMS插件易优CMS智能改写插件
- 黔南州委常委、统战部部长潘选一行领导莅临迦太利华调研
- 机器学习框架Ray——Actor模型
- 2022 CCF中国软件大会(CCF Chinasoft)“软件智能合成理论与方法”论坛成功召开...
- Java多线程(超详解)
- 杰理之音量控制【篇】
- 给大家推荐一个免费好用的ico图标、png、icns下载地址!
- 吹爆苹果新款 M1 电脑!
- BaseQuickAdapter之BRVAH官方使用指南(持续更新)
- 计算机windows7显卡怎么检测,安装windows7之后的显卡问题