國(guó)際標(biāo)準(zhǔn)化組織(ISO)于2022年10月發(fā)布了ISO/IEC 27001：2022《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù) 信息安全管理體系 要求》，該標(biāo)準(zhǔn)代替了ISO/IEC 27001：2013.新版標(biāo)準(zhǔn)條款6.1.3“信息安全風(fēng)險(xiǎn)處置”明確了組織應(yīng)確定并實(shí)施信息安全風(fēng)險(xiǎn)處置過(guò)程，并在附錄A中給出了信息安全控制項(xiàng)目表，該表中新增加了包括威脅情報(bào)等11個(gè)控制項(xiàng)。同年發(fā)布修訂的ISO/IEC 27002：2022標(biāo)準(zhǔn)對(duì)ISO/IEC 27001：2022標(biāo)準(zhǔn)中信息安全控制項(xiàng)給出了實(shí)施指南。

本文針對(duì)新增的11個(gè)控制項(xiàng)分別從項(xiàng)目控制要求、控制目的和指南重點(diǎn)三方面進(jìn)行闡述，旨在為確保組織在實(shí)施ISO/IEC 27001：2022標(biāo)準(zhǔn)或準(zhǔn)備申請(qǐng)認(rèn)證和正確使用新版標(biāo)準(zhǔn)過(guò)程中提供幫助，以最大限度地發(fā)揮信息安全管理體系的作用。

1.威脅情報(bào)（5.7）

控制要求：應(yīng)收集并分析與信息安全威脅相關(guān)的信息并編制威脅情報(bào)。

控制目的：識(shí)別本組織的威脅環(huán)境，以便采取適當(dāng)?shù)木徑獯胧?/p>

指南重點(diǎn)：收集和分析關(guān)于現(xiàn)有或新出現(xiàn)的威脅信息，以便促進(jìn)對(duì)行動(dòng)的知情，防止威脅對(duì)組織造成傷害和降低威脅的影響。從戰(zhàn)略、戰(zhàn)術(shù)和行動(dòng)三個(gè)層面制定威脅情報(bào)。威脅情報(bào)應(yīng)該是相關(guān)的、有洞察力的、前后銜接的和可操作的。組織可以使用威脅情報(bào)來(lái)預(yù)防、監(jiān)測(cè)或應(yīng)對(duì)企業(yè)信息資產(chǎn)面臨的安全狀況，進(jìn)行相關(guān)的風(fēng)險(xiǎn)管理，也可以將威脅情報(bào)與企業(yè)已有的安全架構(gòu)、產(chǎn)品、流程相整合，為高層決策提供建議。

2.使用云服務(wù)的信息安全（5.23）

控制要求：根據(jù)組織的信息安全要求建立獲取、使用、管理和退出云服務(wù)的流程。

控制目的：明確和管理云服務(wù)使用的信息安全。

指南重點(diǎn)：組織應(yīng)管理與云服務(wù)使用相關(guān)的信息安全風(fēng)險(xiǎn)，主要包括云服務(wù)的信息安全要求、使用范圍、使用和管理相關(guān)的角色和職責(zé)、管理權(quán)限、信息安全保證能力、多個(gè)接口和變化、應(yīng)急事故處理流程、信息安全風(fēng)險(xiǎn)評(píng)估方法云服務(wù)的退出策略。云服務(wù)協(xié)議通常是預(yù)先定義的，不允許協(xié)商。云服務(wù)協(xié)議應(yīng)解決組織的保密性、完整性、可用性和信息處理要求，并具有適當(dāng)?shù)脑品?wù)級(jí)別和質(zhì)量目標(biāo)。

云服務(wù)的信息安全在5.10信息和其他相關(guān)資產(chǎn)的可接受的使用、5.19 供應(yīng)商關(guān)系中的信息安全、5.21 管理ICT供應(yīng)鏈中的信息安全、8.8 技術(shù)漏洞的管理、8.9配置管理、8.10 信息刪除、8.12 防止數(shù)據(jù)泄露、8.13 數(shù)據(jù)備份、8.14 信息處理設(shè)備的冗余、8.15 日志和8.28 安全編碼部分均有提及，在制定使用云服務(wù)安全策略時(shí)應(yīng)綜合考慮。

有關(guān)云服務(wù)的其他信息可以在ISO/IEC 17788、ISO/IEC 17789和ISO/IEC 22123-1中找到。與支持退出策略的云可移植性相關(guān)的細(xì)節(jié)可以在ISO/IEC 19941中找到。ISO/IEC 27017中描述了與信息安全和公共云服務(wù)相關(guān)的細(xì)節(jié)。在ISO/IEC 27018中描述了與充當(dāng)PII處理器的公共云中的PII保護(hù)相關(guān)的細(xì)節(jié)。云服務(wù)的供應(yīng)商關(guān)系由ISO/IEC 27036—4和云服務(wù)協(xié)議涵蓋，其內(nèi)容由ISO/IEC 19086系列處理，安全和隱私由ISO/IEC 19086—4專門涵蓋。

3.為業(yè)務(wù)連續(xù)性提供信息通信技術(shù)（ICT）保障（5.30）

控制要求：應(yīng)根據(jù)業(yè)務(wù)連續(xù)性目標(biāo)和信息與通信技術(shù)連續(xù)性要求，對(duì)ICT準(zhǔn)備就緒情況進(jìn)行策劃、實(shí)施、維護(hù)和測(cè)試。

控制目的：確保組織的信息和其他相關(guān)資產(chǎn)在中斷期間的可用性。

指南重點(diǎn)：ICT已經(jīng)廣泛進(jìn)入人類的經(jīng)濟(jì)和社會(huì)生活，覆蓋了所有通信設(shè)備或應(yīng)用軟件，比如收音機(jī)、電視、移動(dòng)電話、計(jì)算機(jī)、網(wǎng)絡(luò)硬件和軟件、衛(wèi)星系統(tǒng)等，以及與之相關(guān)的各種服務(wù)和應(yīng)用軟件，例如視頻會(huì)議和遠(yuǎn)程教學(xué)。ICT連續(xù)性要求是業(yè)務(wù)影響分析(BIA系統(tǒng))的結(jié)果，管理 ICT 連續(xù)性是業(yè)務(wù)連續(xù)性要求的一個(gè)關(guān)鍵部分，根據(jù)ICT服務(wù)的BIA和風(fēng)險(xiǎn)評(píng)估的結(jié)果，組織應(yīng)確定和選擇ICT連續(xù)性策略，以滿足ICT服務(wù)所需的可用性水平。組織應(yīng)建立適當(dāng)?shù)慕M織結(jié)構(gòu)，制定ICT連續(xù)性計(jì)劃，計(jì)劃需經(jīng)過(guò)評(píng)審后批準(zhǔn)實(shí)施。業(yè)務(wù)連續(xù)性的ICT準(zhǔn)備詳見(jiàn) ISO/IEC 27031.業(yè)務(wù)連續(xù)性管理參見(jiàn)ISO 22301和ISO 22313.有關(guān)BIA的方法參見(jiàn) ISO/TS 22317.

4.物理安全監(jiān)控(7.4)

控制要求：保證對(duì)未經(jīng)授權(quán)物理訪問(wèn)的持續(xù)監(jiān)控。

控制目的：檢測(cè)和阻止未經(jīng)授權(quán)物理訪問(wèn)。

指南重點(diǎn)：應(yīng)通過(guò)監(jiān)控系統(tǒng)監(jiān)控實(shí)際場(chǎng)景，監(jiān)控系統(tǒng)包括警衛(wèi)、入侵警報(bào)、類似閉路電視的視頻監(jiān)控系統(tǒng)，以及自我管理或由提供監(jiān)控服務(wù)廠家管理的物理安全信息管理軟件。應(yīng)通過(guò)安裝閉路電視或探測(cè)器持續(xù)監(jiān)控關(guān)鍵系統(tǒng)所在建筑物的出入情況，以檢測(cè)未經(jīng)授權(quán)的出入員或可疑行為。監(jiān)控系統(tǒng)的設(shè)計(jì)應(yīng)該保密，防止未經(jīng)授權(quán)的人員訪問(wèn)監(jiān)控信息或遠(yuǎn)程禁用系統(tǒng)。記錄視頻應(yīng)遵循當(dāng)?shù)胤煞ㄒ?guī)，尤其是關(guān)于人員監(jiān)控和保留期的法律法規(guī)。

5.配置管理（8.9）

控制要求：應(yīng)建立、記錄、實(shí)施、監(jiān)控和審查硬件、軟件、服務(wù)和網(wǎng)絡(luò)的配置，包括安全配置。

控制目的：確保硬件、軟件、服務(wù)和網(wǎng)絡(luò)滿足安全設(shè)置功能的正確，未經(jīng)授權(quán)或不正確的更改不會(huì)更改配置項(xiàng)。

指南重點(diǎn)：配置管理的基本單位是配置項(xiàng)。此處的配置管理重點(diǎn)在于業(yè)務(wù)方面的配置管理和安全方面的配置管理，二者相輔相成。組織應(yīng)制定和實(shí)施流程和工具，以在硬件、軟件、服務(wù)(例如云服務(wù))和網(wǎng)絡(luò)、新安裝的系統(tǒng)以及運(yùn)營(yíng)系統(tǒng)的生命周期內(nèi)加強(qiáng)實(shí)施已定義的配置(包括安全配置)管理。為確保對(duì)所有配置項(xiàng)更改正確，應(yīng)明確配置的角色、職責(zé)和流程。應(yīng)規(guī)定硬件、軟件、服務(wù)和網(wǎng)絡(luò)安全配置項(xiàng)的標(biāo)準(zhǔn)模板。當(dāng)需要應(yīng)對(duì)新威脅或漏洞時(shí)，或者當(dāng)引入新軟件或硬件版本時(shí)，應(yīng)定期審查和更新這些模板。配置項(xiàng)更改應(yīng)遵循技術(shù)狀態(tài)更改管理流程(參見(jiàn)8.32)。應(yīng)使用一套全面的系統(tǒng)管理工具(例如：維護(hù)使用程序、遠(yuǎn)程支持工具、企業(yè)管理工具、備份和恢復(fù)工具)來(lái)監(jiān)控配置，并應(yīng)定期審查配置項(xiàng)，以驗(yàn)證配置設(shè)置與所評(píng)估活動(dòng)的一致性。配置信息可以使用系統(tǒng)進(jìn)行管理，也可以通過(guò)文檔來(lái)進(jìn)行記錄。

組織可以盡可能通過(guò)配置管理實(shí)現(xiàn)所有信息資產(chǎn)相關(guān)的管理。

6.信息刪除（8.10）

控制要求：當(dāng)不再需要時(shí)，應(yīng)刪除存儲(chǔ)在信息系統(tǒng)、設(shè)備或任何其他存儲(chǔ)介質(zhì)中的信息。

控制目的：防止敏感信息的不必要外泄，并遵守法律、法規(guī)、監(jiān)管和合同對(duì)信息刪除的要求。

指南重點(diǎn)：敏感信息的保留時(shí)間應(yīng)不超過(guò)降低不希望泄漏風(fēng)險(xiǎn)所需的時(shí)間。刪除系統(tǒng)信息、應(yīng)用程序和服務(wù)的信息時(shí)，應(yīng)考慮相關(guān)法律法規(guī)、選擇的刪除方法(如電子覆蓋或加密擦除)和作為證據(jù)的刪除結(jié)果記錄。如果第三方代表組織存儲(chǔ)本組織的信息，應(yīng)考慮在第三方協(xié)議中納入刪除信息的要求。在使用云服務(wù)的情況下，組織應(yīng)該驗(yàn)證云服務(wù)提供商提供的刪除方法是否可接受。應(yīng)使用7.14中描述的控制措施對(duì)存儲(chǔ)設(shè)備實(shí)施物理銷毀，同時(shí)刪除其中包含的信息。云服務(wù)中用戶數(shù)據(jù)刪除參見(jiàn) ISO/IEC 27017.刪除 PII 的內(nèi)容參見(jiàn)ISO/IEC 27555.

7.數(shù)據(jù)脫敏（8.11）

控制要求：應(yīng)根據(jù)組織訪問(wèn)控制和其他相關(guān)的專題策略、業(yè)務(wù)需求和適用的法律，實(shí)施數(shù)據(jù)脫敏。

控制目的：限制包括PII在內(nèi)的敏感數(shù)據(jù)的披露，遵守法律法規(guī)，滿足監(jiān)管和合同要求。

指南重點(diǎn)：如果需要保護(hù)敏感數(shù)據(jù)(例如PII)，組織應(yīng)考慮使用數(shù)據(jù)脫敏、假名或匿名等技術(shù)來(lái)隱藏此類數(shù)據(jù);數(shù)據(jù)脫敏的其他技術(shù)包括加密、取消或刪除字符，變化數(shù)字和日期，用其他數(shù)值替代等;使用數(shù)據(jù)脫敏、假名或匿名的注意事項(xiàng)。有關(guān)公共云中PII保護(hù)的附加控制參見(jiàn) ISO/IEC 27018.其他去識(shí)別化技術(shù)參見(jiàn)ISO/IEC 20889.

8.防止數(shù)據(jù)泄露（8.12）

控制要求：在系統(tǒng)、網(wǎng)絡(luò)和任何其他設(shè)備上處理、存儲(chǔ)或傳輸敏感信息時(shí)，應(yīng)采取防止數(shù)據(jù)泄露的措施。

控制目的：檢測(cè)并防止個(gè)人或系統(tǒng)在未經(jīng)授權(quán)情況下公開(kāi)和提取信息。

指南重點(diǎn)：組織通過(guò)對(duì)防止泄露信息進(jìn)行識(shí)別和分類，監(jiān)控?cái)?shù)據(jù)泄露的渠道和采取防止信息泄露措施來(lái)降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)。使用數(shù)據(jù)防泄漏的工具，識(shí)別和監(jiān)控面臨未授權(quán)披露風(fēng)險(xiǎn)的敏感信息，檢測(cè)敏感信息的泄露，阻止暴露敏感信息的用戶操作或網(wǎng)絡(luò)傳輸。組織應(yīng)確定是否有必要限制用戶向組織外部的服務(wù)、設(shè)備和存儲(chǔ)介質(zhì)復(fù)制、粘貼或上傳數(shù)據(jù)的能力。訪問(wèn)控制和安全文檔管理的防止數(shù)據(jù)泄漏參見(jiàn)5.12和5.15.

9.監(jiān)控活動(dòng)（8.16）

控制要求：應(yīng)監(jiān)控網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序的異常行為，并采取適當(dāng)?shù)拇胧﹣?lái)評(píng)估潛在的信息安全事件。

控制目的：檢測(cè)異常行為和潛在的信息安全事件。

指南重點(diǎn)：監(jiān)控范圍和級(jí)別應(yīng)根據(jù)業(yè)務(wù)和信息安全要求確定，并考慮相關(guān)法律法規(guī)。監(jiān)控記錄應(yīng)保留規(guī)定的保留期限。組織應(yīng)建立正常性能基線，并根據(jù)該基線監(jiān)控異常情況。監(jiān)控系統(tǒng)應(yīng)包括出站和入站網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用流量，訪問(wèn)系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、監(jiān)控系統(tǒng)、關(guān)鍵應(yīng)用程序等，關(guān)鍵或管理級(jí)系統(tǒng)和網(wǎng)絡(luò)配置文件，安全工具的日志，事件日志，檢查正在執(zhí)行的代碼是否被授權(quán)在系統(tǒng)中運(yùn)行以及是否被篡改，資源的使用及其性能。組織應(yīng)建立正常行為的基線，并根據(jù)該基線監(jiān)控異常情況。建立基線時(shí)，應(yīng)考慮正常和高峰時(shí)期的系統(tǒng)利用率、每個(gè)用戶或用戶組的通常訪問(wèn)時(shí)間、訪問(wèn)位置、訪問(wèn)頻率等因素?？梢酝ㄟ^(guò)利用威脅情報(bào)系統(tǒng)等方式增強(qiáng)安全監(jiān)控：監(jiān)控活動(dòng)通常根據(jù)正常、可接受和預(yù)期的系統(tǒng)和網(wǎng)絡(luò)活動(dòng)的基線進(jìn)行軟件配置。

10.web過(guò)濾（8.23）

控制要求：管理對(duì)外部網(wǎng)站的訪問(wèn)，以減少惡意內(nèi)容的影響。

控制目的：保護(hù)系統(tǒng)免受惡意軟件的侵害，并防止未經(jīng)授權(quán)的網(wǎng)絡(luò)資源訪問(wèn)。

指南重點(diǎn)：降低其員工訪問(wèn)包含非法信息或已知包含病毒或網(wǎng)絡(luò)釣魚(yú)材料的網(wǎng)站的風(fēng)險(xiǎn)。實(shí)現(xiàn)這一目的的技術(shù)是阻止相關(guān)網(wǎng)站的IP 地址或域。一些瀏覽器和反惡意軟件技術(shù)會(huì)自動(dòng)執(zhí)行此操作，或者可以配置為執(zhí)行此操作。組織應(yīng)確定員工應(yīng)該或不應(yīng)該訪問(wèn)的網(wǎng)站類型，阻止惡意網(wǎng)站或共享非法內(nèi)容的網(wǎng)站的訪問(wèn)。web 過(guò)濾可以包括一系列技術(shù)，包括簽名、啟發(fā)式、可接受或禁止網(wǎng)站或域列表的配置，以防止惡意軟件和其他惡意活動(dòng)攻擊組織的網(wǎng)絡(luò)和系統(tǒng)。

11.安全編碼（8.28）

控制要求：應(yīng)用安全編碼原則開(kāi)發(fā)軟件。

控制目的：確保軟件編寫安全，從而減少軟件中潛在的信息安全漏洞的數(shù)量。

指南重點(diǎn)：建立全組織范圍適用的過(guò)程，為安全編碼提供良好的管理方法。應(yīng)建立和應(yīng)用最低限度的安全基線。此外，這種過(guò)程和管理方法應(yīng)該延伸到第三方的軟件組件和開(kāi)源軟件。組織應(yīng)監(jiān)控實(shí)際威脅以及最新軟件漏洞，持續(xù)改進(jìn)安全編碼原則。規(guī)則和編碼前安全編碼原則應(yīng)該用于新的開(kāi)發(fā)和重用場(chǎng)景。這些原則應(yīng)當(dāng)適用于組織內(nèi)部的開(kāi)發(fā)活動(dòng)以及組織向他人提供的產(chǎn)品和服務(wù)。信通技術(shù)安全評(píng)估的更多信息參見(jiàn) ISO/IEC 15408系列。

ISO/ IEC 27001：2022標(biāo)準(zhǔn)中新增的11個(gè)信息安全控制項(xiàng)是在分析當(dāng)前“大智物移云”(大數(shù)據(jù)、智能化、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、云計(jì)算)等技術(shù)發(fā)展環(huán)境變化基礎(chǔ)上，結(jié)合當(dāng)前信息安全的風(fēng)險(xiǎn)態(tài)勢(shì)，識(shí)別出來(lái)的11個(gè)信息安全風(fēng)險(xiǎn)因素。這11個(gè)信息安全風(fēng)險(xiǎn)因素并不代表新識(shí)別信息安全風(fēng)險(xiǎn)因素的全部，在具體實(shí)施時(shí)還需按照ISO 31000的要求開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估和處置，確保風(fēng)險(xiǎn)識(shí)別不漏項(xiàng)，風(fēng)險(xiǎn)控制措施有效，殘余風(fēng)險(xiǎn)可接受。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：中國(guó)政府網(wǎng)、百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://www.1cjaei.cn/news/202309/xwif_45400.html