ISO27002:2022版的变化主要涉及帮助企业应对不断变化的安全场景和对相关风险的控制。
ISO/IEC 27002的上一次修订是在2013年,并在2017年进行了少量修改。因此,标准亟待更新。当今的信息安全、网络安全和隐私风险已经发生了巨大的变化。所有公司面临的威胁都在加剧,信息安全的管理已影响到业务的连续性和弹性等等问题。攻击或入侵充其量只能造成一些麻烦,但越来越多的情况是,企业受到严重影响:生产受阻,或完全停止数日甚至数周。
“这个话题在很大程度上是大多数公司议程和董事会的核心。似乎每个人都面临风险,但许多人还没有实施适当和健全的体系来识别、管理和减轻他们的信息安全风险。更新后的标准将有助于企业应对不断变化的信息安全场景。”DNV全球ICT技术经理Nanda Kumar Shamanna说。
新版本谈及了与数字和云技术相关的控制,包括网络安全和隐私威胁(如勒索软件和恶意软件)。标准还通过增加识别各种属性,以解决其他安全方面的问题。
ISO 27002:2022的变更将影响可认证标准ISO/IEC 27001。ISO/IEC 27001的修订版预计将在今年晚些时候发布,相关修订预计仅与控制相关。对新版ISO 27001转换期的要求将作为新版标准的一部分确定。但现在,随着ISO/IEC 27002的发布,我们已经可以开始准备工作了。
新版本标准对获证组织的主要好处:
-应对新情况和风险;-有助于理解其他安全视角;
-包括了网络安全和隐私等方面;
-新的控制措施,以确保不会错过新的情况和风险。
-对于公司而言,这意味着主要审查与领导、公司安全、IT职能、交付(如果是服务提供商)和其他支持功能相关的流程和系统。