《ISO 27002》2022版標(biāo)準(zhǔn)變化解讀
發(fā)布時(shí)間 2022-05-162022年2月,ISO(國際標(biāo)準(zhǔn)化組織)更新發(fā)布了ISO/IEC 27002:2022信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)-信息安全控制,以作為組織根據(jù)信息安全管理體系認(rèn)證標(biāo)準(zhǔn)定制和實(shí)施信息安全控制措施的指南。新版標(biāo)準(zhǔn)在2013年ISO/IEC 27002:2013的標(biāo)準(zhǔn)基礎(chǔ)上進(jìn)行了一系列的完善和補(bǔ)充,本文就此展開解讀。
01 27000體系介紹
ISO/IEC 27000標(biāo)準(zhǔn)是由國際標(biāo)準(zhǔn)化組織(ISO)及國際電工委員會(huì)(IEC)聯(lián)合定制的一套標(biāo)準(zhǔn),該標(biāo)準(zhǔn)系列由最佳實(shí)踐所得并提出對(duì)于信息安全管理的建議,包含了信息安全管理體系概述和詞匯、信息安全管理體系實(shí)施指南、信息安全風(fēng)險(xiǎn)管理、信息安全管理系統(tǒng)驗(yàn)證機(jī)構(gòu)認(rèn)證規(guī)范、信息安全管理體系規(guī)范與使用指南、信息安全管理實(shí)用規(guī)則等一系列的信息安全管理系統(tǒng)領(lǐng)域中的風(fēng)險(xiǎn)及相關(guān)管控。
圖1 ISO27000發(fā)展歷史
27001是信息安全管理體系(ISMS),27002是用于實(shí)施時(shí)選擇控制措施時(shí)參考,或作為組織實(shí)施信息安全控制措施的指南,最新版本由信息技術(shù)聯(lián)合技術(shù)委員會(huì)信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)分委員會(huì)編寫,最新版本于2022年發(fā)布,同時(shí)廢止舊版本27002:2013。
02 2022版與2013版的主要區(qū)別
ISO/IEC27002:2022版本于2022年2月發(fā)布,新版本與2013版本發(fā)生了較大的改變,主要是在標(biāo)題中刪除了“最佳實(shí)踐”的叫法,標(biāo)準(zhǔn)名稱改為“信息安全、網(wǎng)絡(luò)安全及隱私保護(hù)-信息安全控制”;總體框架變?yōu)楸容^簡(jiǎn)單的分類;增加了控制措施的相關(guān)屬性;一些控制措施被合并,一些被刪除。
1)重構(gòu)整體總體框架
修訂后的2022版對(duì)框架結(jié)構(gòu)進(jìn)行了重新構(gòu)建,合并了2013版的14個(gè)變?yōu)?個(gè)主題,控制項(xiàng)數(shù)量從2013版的114個(gè)減少到93個(gè)。
圖2 2013版和2022版總體框架對(duì)比
解讀:2022版將控制措施分配到組織、人員、物理、技術(shù)的四個(gè)大主題,簡(jiǎn)單的主題使分類更加簡(jiǎn)單,這樣方便了組織對(duì)安全控制點(diǎn)進(jìn)行選擇歸類,可以通過歸類的特定主題策略支持信息安全策略,以加強(qiáng)信息安全控制的實(shí)施。
2)新增控制措施屬性
修訂后的2022版對(duì)控制措施增加了5個(gè)屬性,分別為控制類型、信息安全屬性、網(wǎng)絡(luò)概念、運(yùn)營能力和安全域5個(gè)屬性。
圖3 27002 2022 新增的屬性和屬性值
解讀:2022版本的屬性是從安全控制措施的不同場(chǎng)景和角度進(jìn)行描述和分類,以便通過屬性來創(chuàng)建不同場(chǎng)景和角度的安全視圖,以了解適合自己的信息安全控制的最佳實(shí)踐。
圖4 控制類型屬性(預(yù)防、監(jiān)測(cè)、糾正)分配情況
比如:控制類型屬性是從事件的時(shí)間(發(fā)生之前、期間或之后)的角度來進(jìn)行描述控制措施。信息安全屬性是從信息安全涉及保護(hù)信息的特征來對(duì)安全控制措施進(jìn)行描述。網(wǎng)絡(luò)安全屬性是從事件發(fā)生前、期間和之后網(wǎng)絡(luò)安全活動(dòng)的角度對(duì)安全控制措施進(jìn)行描述。運(yùn)營能力屬性是從信息安全運(yùn)行的控制的角度對(duì)安全控制措施進(jìn)行描述。
3)新增11個(gè)安全控制項(xiàng)
2022版本相對(duì)于2013增加了11個(gè)安全控制項(xiàng),增加的控制項(xiàng)主要集中在組織控制主題和技術(shù)控制主題,組織控制主題中增加了云、威脅情報(bào)、以及業(yè)務(wù)連續(xù)性的控制點(diǎn),而技術(shù)控制主題主要是增加了關(guān)于數(shù)據(jù)安全等控制點(diǎn)。
圖5 2022版新增控制點(diǎn)分布情況
解讀:在目前的數(shù)字化轉(zhuǎn)型、網(wǎng)絡(luò)安全威脅復(fù)雜的背景下,2022版增加了對(duì)企業(yè)的業(yè)務(wù)安全、數(shù)據(jù)安全、云安全和信息安全的持續(xù)控制。
? 業(yè)務(wù)安全。在業(yè)務(wù)越來越依賴信息化的時(shí)代背景,2022加強(qiáng)了對(duì)業(yè)務(wù)連續(xù)性的支持,如增加了“5.30信息通信技術(shù)為業(yè)務(wù)連續(xù)性做好準(zhǔn)備”的控制項(xiàng),確保組織信息和其他相關(guān)資產(chǎn)的可用性中斷的管理。
? 數(shù)據(jù)安全。在數(shù)據(jù)監(jiān)管要求越來越嚴(yán)格的背景下,2022版本加強(qiáng)了企業(yè)對(duì)數(shù)據(jù)安全的管理控制,比如增加了“8.10信息刪除”、“8.12數(shù)據(jù)泄露”、“8.11數(shù)據(jù)屏蔽” 控制項(xiàng)。防止敏感信息暴露,并遵守有關(guān)信息刪除的法律、法規(guī)、監(jiān)管和合同要求。
? 云安全。針對(duì)越來越多的企業(yè)開展上云業(yè)務(wù)、并越來越多地自開發(fā)應(yīng)用,2022版本加強(qiáng)了云服務(wù)的安全管理等,比如“5.23使用云服務(wù)的信息安全”、“5.23使用云服務(wù)的信息安全”,為使用云服務(wù)指定和管理信息安全。
? 信息安全。在APT等網(wǎng)絡(luò)威脅和攻擊越來越多的前提和背景下,2022版本加強(qiáng)了威脅情報(bào)、監(jiān)測(cè)監(jiān)控、應(yīng)用安全方面提出要加強(qiáng)對(duì)組織威脅環(huán)境的認(rèn)識(shí),如增加了“5.7威脅情報(bào)”的控制項(xiàng),以便對(duì)威脅采取適當(dāng)?shù)木徑獯胧?。加?qiáng)企業(yè)對(duì)軟硬件環(huán)境和安全事件的監(jiān)控控制和管理,避免未授權(quán)訪問和變更,如增加“8.16監(jiān)測(cè)活動(dòng)”。檢測(cè)異常行為和潛在的信息安全事件。
同時(shí)增加“7.4物理安全監(jiān)控”和“8.9配置管理”。檢測(cè)和阻止未經(jīng)授權(quán)的物理訪問?!?.23網(wǎng)頁過濾”,保護(hù)系統(tǒng)免受惡意軟件的破壞并防止訪問未經(jīng)授權(quán)的網(wǎng)絡(luò)資源?!?.28安全編碼”,確保軟件編寫安全,從而減少軟件中潛在信息安全漏洞的數(shù)量。
03 2022版重大控制變化解讀
1)加強(qiáng)對(duì)業(yè)務(wù)連續(xù)性的支持
增加和強(qiáng)調(diào)了對(duì)業(yè)務(wù)連續(xù)性的支持,包括企業(yè)應(yīng)根據(jù)業(yè)務(wù)連續(xù)性目標(biāo)和ICT連續(xù)性要求來識(shí)別和選擇ICT連續(xù)性戰(zhàn)略,規(guī)劃、實(shí)施、維護(hù)和測(cè)試ICT準(zhǔn)備情況,確保組織信息和其他相關(guān)資產(chǎn)的可用性中斷。比如在業(yè)務(wù)連續(xù)性管理過程中確定在中斷期間調(diào)整信息安全控制的要求,以在中斷期間保護(hù)信息和其他相關(guān)資產(chǎn)(見5.29 中斷期間的信息安全)。
信息安全事件應(yīng)按照文件化程序進(jìn)行響應(yīng),包括危機(jī)管理活動(dòng)和業(yè)務(wù)連續(xù)性計(jì)劃(見5.29和5.30),確保高效、有效地應(yīng)對(duì)信息安全事件。比如設(shè)計(jì)和實(shí)施具有適當(dāng)冗余的系統(tǒng)架構(gòu),為業(yè)務(wù)連續(xù)性做好準(zhǔn)備,尤其是在需要較短恢復(fù)時(shí)間的情況下。許多冗余措施可以成為ICT連續(xù)性戰(zhàn)略和解決方案的一部分(見8.14信息處理設(shè)施的冗余)。
2)加強(qiáng)云環(huán)境云服務(wù)的安全管理
云環(huán)境下的IT概念與傳統(tǒng)環(huán)境大不相同,這導(dǎo)致了云環(huán)境的安全管理也有很大區(qū)別,主要建議包括針對(duì)云服務(wù)的政策、云上資產(chǎn)管理、云上數(shù)據(jù)的安全管理和云服務(wù)供應(yīng)鏈的管理。
建立云服務(wù)特定政策,管理云服務(wù)信息安全。比如定義與使用云服務(wù)相關(guān)的所有相關(guān)信息安全要求;云服務(wù)選擇標(biāo)準(zhǔn)和云服務(wù)使用范圍等,同時(shí)云服務(wù)協(xié)議的特點(diǎn)是預(yù)先定義的,不接受談判,因此對(duì)于云服務(wù),組織應(yīng)審查與云服務(wù)提供商的云服務(wù)協(xié)議,以滿足組織的機(jī)密性、完整性、可用性和信息處理要求,并具有適當(dāng)?shù)脑品?wù)水平目標(biāo)和云服務(wù)質(zhì)量目標(biāo)。并應(yīng)進(jìn)行相關(guān)的風(fēng)險(xiǎn)評(píng)估,以識(shí)別與使用云服務(wù)相關(guān)的風(fēng)險(xiǎn)。
加強(qiáng)云上資產(chǎn)管理。在云環(huán)境下將資產(chǎn)視為動(dòng)態(tài),比如可將VM等視為一組動(dòng)態(tài)短期資產(chǎn);對(duì)于公共云服務(wù)等第三方資產(chǎn)加以控制;關(guān)注協(xié)作工作環(huán)境的安全,確保云環(huán)境的相關(guān)資產(chǎn)得到適當(dāng)?shù)谋Wo(hù)、使用和處理(見5.9 信息清單和其他相關(guān)資產(chǎn))。
開展數(shù)據(jù)傳輸?shù)陌踩芾?,比如在使用云存?chǔ)等外部公共服務(wù)之前應(yīng)獲得批準(zhǔn),保證組織和與任何外部相關(guān)方傳輸?shù)男畔⒌陌踩裕ㄒ?.14 信息傳遞)。
云服務(wù)供應(yīng)鏈的管理。應(yīng)定義和實(shí)施流程和程序,以管理云服務(wù)供應(yīng)鏈相關(guān)的信息安全風(fēng)險(xiǎn),在供應(yīng)商關(guān)系中保持商定的信息安全水平。如定義適用于云服務(wù)的信息安全要求,在整個(gè)供應(yīng)鏈中傳播組織的安全要求等(5.21管理ICT 供應(yīng)鏈中的信息安全)。
其他云環(huán)境應(yīng)關(guān)注的還包括使用過程中,應(yīng)關(guān)注云環(huán)境的安全配置、云上數(shù)據(jù)的備份、日志記錄、云環(huán)境的時(shí)鐘同步、云環(huán)境的測(cè)試等安全問題。
3)加強(qiáng)個(gè)人數(shù)據(jù)、隱私數(shù)據(jù)等敏感數(shù)據(jù)的安全
國家越來越重視對(duì)數(shù)據(jù)的安全,并出臺(tái)了數(shù)據(jù)安全法,各行業(yè)加強(qiáng)了監(jiān)管,出臺(tái)個(gè)人隱私等敏感數(shù)據(jù)政策,數(shù)據(jù)安全的保護(hù)變得越來越重要。2022版針對(duì)這種背景,對(duì)個(gè)人信息、隱私數(shù)據(jù)等敏感信息補(bǔ)充了關(guān)于數(shù)據(jù)的存儲(chǔ)和刪除、數(shù)據(jù)屏蔽、數(shù)據(jù)傳輸?shù)葦?shù)據(jù)全生命周期的控制措施和最佳實(shí)踐。
數(shù)據(jù)的存儲(chǔ)和刪除,敏感信息的保存時(shí)間不應(yīng)超過減少不良風(fēng)險(xiǎn)所需的時(shí)間披露。應(yīng)對(duì)數(shù)據(jù)刪除進(jìn)行監(jiān)控,最佳實(shí)踐是利用日志跟蹤或驗(yàn)證這些刪除過程是否已發(fā)生。對(duì)于供應(yīng)商應(yīng)確定并應(yīng)用控制措施來管理供應(yīng)商對(duì)信息和其他相關(guān)資產(chǎn)的訪問。例如,供應(yīng)商協(xié)議涉及跨境傳輸或訪問信息時(shí)的個(gè)人數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)(見8.10信息刪除)。
使用數(shù)據(jù)屏蔽,限制敏感數(shù)據(jù)的暴露,以滿足合法合規(guī)性,最佳實(shí)踐是使用數(shù)據(jù)屏蔽、假名化或匿名化等技術(shù)隱藏此類數(shù)據(jù)(見8.11數(shù)據(jù)屏蔽)。
在處理、存儲(chǔ)或傳輸敏感信息時(shí),使用數(shù)據(jù)泄露預(yù)防措施檢測(cè)和防止個(gè)人或系統(tǒng)未經(jīng)授權(quán)披露和提取信息。比如識(shí)別和分類信息以防止泄漏(例如個(gè)人信息、定價(jià)模型和產(chǎn)品設(shè)計(jì);監(jiān)控?cái)?shù)據(jù)泄漏渠道等(見8.12數(shù)據(jù)泄露預(yù)防)。
4)提高自動(dòng)化技術(shù)水平和利用自動(dòng)化工具
在對(duì)安全管理要求越來越高,控制措施越來越嚴(yán)格的同時(shí),2022建議利用自動(dòng)化工具來減低安全控制措施的實(shí)施成本。比如在職責(zé)管理時(shí),可使用自動(dòng)化工具來識(shí)別角色沖突并促進(jìn)將其刪除。在信息資產(chǎn)清單管理時(shí),可利用自動(dòng)化工具自動(dòng)執(zhí)行庫存更新。在審查時(shí),可以使用自動(dòng)測(cè)量和報(bào)告工具進(jìn)行有效的定期審查。在終端設(shè)備管理時(shí),可通過自動(dòng)化工具來實(shí)施用戶終端設(shè)備信息的保護(hù)。
在惡意軟件防范時(shí),可以對(duì)系統(tǒng)的軟件和數(shù)據(jù)內(nèi)容進(jìn)行定期自動(dòng)驗(yàn)證;對(duì)于配置管理,偏差可通過自動(dòng)化有效地進(jìn)行,自動(dòng)糾正已定義的目標(biāo)配置。在數(shù)據(jù)屏蔽時(shí),可以使用自動(dòng)化和規(guī)則來動(dòng)態(tài)實(shí)時(shí)保護(hù)數(shù)據(jù);在對(duì)應(yīng)用程序管理時(shí),可使用自動(dòng)化控制權(quán)限的批準(zhǔn)(例如批準(zhǔn)限制或雙重批準(zhǔn))等。
04 總結(jié)和建議
2022版的框架簡(jiǎn)單,易于讀者對(duì)信息安全控制進(jìn)行分類;同時(shí)增加了控制的屬性,可用來實(shí)現(xiàn)特定主題的劃分和選擇,針對(duì)性更強(qiáng),以幫助企業(yè)加強(qiáng)信息安全控制的實(shí)施,支撐信息安全策略;并且2022版指導(dǎo)的安全控制內(nèi)容更加詳細(xì)和具體,使企業(yè)更容易實(shí)現(xiàn)安全控制的落地。
對(duì)于2022版本的出臺(tái),我們建議企業(yè)應(yīng)根據(jù)2022的最新框架對(duì)組織及時(shí)開展風(fēng)險(xiǎn)評(píng)估,并選擇必要合適的控制措施來維護(hù)信息安全、云安全和數(shù)據(jù)安全,做好安全控制升級(jí)的計(jì)劃和實(shí)施,以確保您的控制和ISMS符合更新的標(biāo)準(zhǔn),確保組織能有效應(yīng)對(duì)目前最新的風(fēng)險(xiǎn)。
? 首先利用新的架構(gòu)對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估,確定風(fēng)險(xiǎn)和控制要求。
? 根據(jù)風(fēng)險(xiǎn)控制對(duì)屬性進(jìn)行篩選和確認(rèn)確定合適的安全控制措施,關(guān)注關(guān)注國家、行業(yè)的信息安全相關(guān)的法律、法規(guī)、法規(guī)和合同要求,制定信息安全管理系統(tǒng)(ISMS)的管理組織架構(gòu)和制度規(guī)定。
? 加強(qiáng)風(fēng)險(xiǎn)管理,降低信息安全漏洞的可能性。
? 制定和監(jiān)測(cè)與屬性相關(guān)的指標(biāo)。
? 使用屬性(和風(fēng)險(xiǎn)控制要求)作為基礎(chǔ),開展評(píng)估、審查和審計(jì)。
? 總結(jié)經(jīng)驗(yàn)和持續(xù)改進(jìn)。