什么是ISO/IEC 27002

ISO/IEC27002提供基于信息安全管理体系标准认证时作为组织定制其安全控制或控制实施的指南。

国际标准化组织 / 国际电工委员会于2013年发布了ISO/IEC 27002:2013 《信息技术 安全技术 安全控制实践指南》，组织可基于ISO/IEC 27002:2013在实现信息安全管理体系（ISMS）过程中选择控制时的参考，也可以作为实现通用信息安全控制时的指南。

2022年，ISO/IEC发布了ISO/IEC 27002:2022《信息安全、网络安全和隐私保护 信息安全控制》

ISO/IEC 27002:2022新版变化

1、标准名称修改为ISO/IEC 27002:2022《信息技术安全技术 信息安全、网络安全和隐私保护  信息安全控制》，去除了“实践指南”，增加“网络安全、隐私保护”，更好地反映该标准是作为组织选择信息安全控制参考集的目的，以及适应当前新型信息技术给组织带来新业态下，对信息安全管理的新需求。

2、ISO/IEC 27002:2022改变了信息安全控制的组织结构 ：基于控制责任主体这个主题，从组织、人员、物理和技术 4个维度形成简洁的控制集：
(1) 人员控制， 如果控制责任主题是 涉及个人；
(2) 物理控制， 如果控制责任主题 涉及实物 ；
(3) 技术控制， 如果控制责任是涉及技术 ；
(4) 组织控制， 其他的控制责任主体不属于上述三类的都归并到组织相关的控制。
2022版标准将 2013 版本的第 5-18 章的 14 个控制域的相关控制重新组织成 4 个章节

3、基于以上4个维度，新版标准保留了ISO/IEC 27002:2013 的所有控制，只删除其中一个资产移动（11.2.5）控制项，并通过目的导向或主体与实体合并、控制技术和内容的抽象等方式将2013版的 114 个 控制项合并优化缩减到 82 个，并添加了因新技术、新业态等安全控制相关的 11 个 新控制，覆盖信息安全、网络安全和隐私保护相关控制，总计93个，其中：组织控制37个，人员控制8个，物理控制14个，技术控制34个。

4、2022版标准在控制结构组成中增加了控制属性元素，五类属性包括控制类型、信息安全属性、 网络安全概念、 运营能力和安全域 。

ISO/IEC 27002标准的变化给组织带来了什么？

• 新版标准能够更好的满足了组织在进行 ISO/IEC 27001 认证时能选择得到业界认可的、反映了最新信息技术与网络环境下，组织在信息安全管理控制措施上的需求，组织可以更好的保证实施信息安全控制的实时性、先进性、可用性和实用性。

• 组织可直接依照风险评估中的风险处置想达到的效果 ( 即目的 ) 来选择ISO/IEC 27002:2022基于组织、人员、物理和技术 4 个维度的合适的控制。

• 依据控制的 5 类属性的不同值，组织可创建满足不同于场景下组织的各种业务、法律法规要求和风险处置要求。这种简洁的控制结构和基于控制属性创建控制集视图的控制使用方式给组织在选择信息安全控制提供了灵活性和可操作性。

• ISO/IEC 27002:2022是一次对标准的全面修订，预示着未来新版的ISO/IEC 27001会有非常显著的变化，对于组织来讲无论是否已经通过 ISO/IEC 27001 信息安全管理体系认证， 或仍在为之努力，Intertek 强烈建议领先一步，立即将 ISO/IEC 27002 标准的变化纳入到组织的信息安全管理过程中去， 保证未来 ISO/IEC 27001 的认证会更加有效。

Intertek服务

Intertek紧跟标准发展，致力于为企业提供全方位的信息安全管理体系方案。可为客户提供的服务包括：

• ISO/IEC 27002新版解析
• ISO/IEC 27002差异分析
• ISO 27001 信息安全管理体系认证
• ISO 27701隐私信息管理体系认证
• ISO/IEC 20000-1 信息技术服务体系认证