大家熟知的ISO/IEC 27002,这一用于确定和实施信息安全管理体系相关控制的标准已经完成修订并正式发布。
ISO 27002 的主要变化是什么?
● 不再被称为“Code of Practice”,标准的新标题为“信息安全、网络安全和隐私保护-信息安全控制”
● 标准结构发生了变化:全文共有8个章节和两个附录。
● 合并了部分控制措施,删除了一些原有控制,并加入了11个新的控制。
新版标准中的93个控制被重新划分为 4 个域
● 组织控制37
● 人员控制8
● 物理控制14
● 技术控制34
新版标准对每项控制增加了一项属性描述, 这样就提供了一种标准化的方式对不同视角的控制进行排序和筛选,以满足不同群体的需求。属性的描述如下:
● 控制类型:预防性、检测性和纠正性
● 信息安全属性:机密性、完整性和可用性
● 网络安全概念:识别、保护、检测、响应和恢复
● 运营能力:治理、资产管理、信息保护、人力资源安全、物理安全、系统和网络安全、应用程序安全、安全配置、身份和访问管理、威胁和漏洞管理、连续性、供应商关系安全、法律和合规性,信息安全事件管理和信息安全保障
● 安全领域:治理和生态系统、保护、防御和恢复能力
有关新版标准的相关事宜,请联系DNV各个办公室以获得进一步的信息。
联系方式:cn.marketing@dnv.com