2022版ISO 27002与2013版的变化和解读

　　(一)标准名称的变化

　　在最新的ISO 27001和ISO 27002的称呼已经更新为ISO/IEC 27001:2022《信息安全、网络安全和隐私保护 信息安全管理体系 要求》以及ISO/IEC 27002:2022《信息安全、网络安全和隐私保护 信息安全控制》。由此可以很清楚的认识到，将知识的重点从“信息技术 安全技术”扩展至“信息安全、网络安全和隐私保护”。这个变化也正式说明，，以便在在以后的发展中能去增强自己的实用性和有效性。

　　(二)标准内容的变化

　　ISO 27002:2022标准在ISO 27002:2013的原则上进行了相关的优化。对于原有的14个控制领域以及114个控制项，新版标准进行了细致的审查，一些不符合的内容进行了合并以及删减，加入了新的内容。

　　在最新的ISO/IEC 27002:2022标准中，有93个控制项包含进去，些控制项涵盖了4个主题和15个安全运营能力域。这些改动使得新版标准更具有针对性和实用性，更能满足现代信息安全管理的需求。

　　1. 15个安全运营能力域

　　运营能力是指以组织信息安全能力的视角来看待和控制的一个属性。它涵盖以下方面：治理、资产管理、信息保护、人力资源安全、物理安全、系统和网络安全、应用安全、安全配置、身份和访问管理、威胁和漏洞管理、连续性、供应商关系安全、法律和合规性、信息安全事件管理以及信息安全保障。

　　与旧版本的14个控制领域相比，新标准的15个运营能力领域有一些明显改变。首先，新增了“信息保护”、“安全配置”和“威胁和漏洞管理”这些领域。其次，部分领域的名称也发生了变化。例如，“信息系统获取、开发和维护”现在被称为“应用安全”，而“通信安全”则改为“系统和网络安全”。

　　下面的表格显示了新标准中的15个运营能力域和旧标准中的14个控制域之间的相对应关系。

　　2.一共有4个主题和93个控制项。

　　2022年修订的版本将原有的93项控制措施按照组织、人员、物理和技术四个主题进行了分组。这样一来，组织在选择和分类安全控制点时就更加方便了。通过按照主题进行策略分类，可以支持信息安全策略的实施，从而提升信息安全控制的执行效果。

　　与2013年版本相比，2022年版本增加了11个安全控制措施。这些新措施涵盖威胁情报、云服务信息安全、业务连续性中ICT准备、物理安全监控、配置管理、信息删除、数据脱敏、数据防泄露、活动监控、网页过滤和安全编码。

　　新增的控制措施主要关注组织和技术两个方面。在组织方面，我们增加了与云、威胁情报和业务连续性相关的控制要点;而在技术方面，我们主要增加了涉及配置管理、数据安全等方面的控制要点。

      如果想要了解更多的：ISO 27002的内容，可以直接咨询赛虎学院客服。