2022年2月,ISO(国际标准化组织)更新发布了ISO/IEC 27002:2022信息安全、网络安全和隐私保护-信息安全控制,以作为组织根据信息安全管理体系认证标准定制和实施信息安全控制措施的指南。新版标准在2013年ISO/IEC 27002:2013的标准基础上进行了一系列的完善和补充,本文就此展开解读。
01、27000体系介绍
ISO/IEC 27000标准是由国际标准化组织(ISO)及国际电工委员会(IEC)联合定制的一套标准,该标准系列由最佳实践所得并提出对于信息安全管理的建议,包含了信息安全管理体系概述和词汇、信息安全管理体系实施指南、信息安全风险管理、信息安全管理系统验证机构认证规范、信息安全管理体系规范与使用指南、信息安全管理实用规则等一系列的信息安全管理系统领域中的风险及相关管控。
图1 ISO27000发展历史
27001是信息安全管理体系(ISMS),27002是用于实施时选择控制措施时参考,或作为组织实施信息安全控制措施的指南,最新版本由信息技术联合技术委员会信息安全、网络安全和隐私保护分委员会编写,最新版本于2022年发布,同时废止旧版本27002:2013。
02、2022版与2013版的主要区别
ISO/IEC27002:2022版本于2022年2月发布,新版本与2013版本发生了较大的改变,主要是在标题中删除了“最佳实践”的叫法,标准名称改为“信息安全、网络安全及隐私保护-信息安全控制”;总体框架变为比较简单的分类;增加了控制措施的相关属性;一些控制措施被合并,一些被删除。
1)重构整体总体框架
修订后的2022版对框架结构进行了重新构建,合并了2013版的14个变为4个主题,控制项数量从2013版的114个减少到93个。
图2 2013版和2022版总体框架对比
解读:2022版将控制措施分配到组织、人员、物理、技术的四个大主题,简单的主题使分类更加简单,这样方便了组织对安全控制点进行选择归类,可以通过归类的特定主题策略支持信息安全策略,以加强信息安全控制的实施。
2)新增控制措施属性
修订后的2022版对控制措施增加了5个属性,分别为控制类型、信息安全属性、网络概念、运营能力和安全域5个属性。
图3 27002 2022 新增的属性和属性值
解读:2022版本的属性是从安全控制措施的不同场景和角度进行描述和分类,以便通过属性来创建不同场景和角度的安全视图,以了解适合自己的信息安全控制的最佳实践。
图4 控制类型属性(预防、监测、纠正)分配情况
比如:控制类型属性是从事件的时间(发生之前、期间或之后)的角度来进行描述控制措施。信息安全属性是从信息安全涉及保护信息的特征来对安全控制措施进行描述。网络安全属性是从事件发生前、期间和之后网络安全活动的角度对安全控制措施进行描述。运营能力属性是从信息安全运行的控制的角度对安全控制措施进行描述。
3)新增11个安全控制项
2022版本相对于2013增加了11个安全控制项,增加的控制项主要集中在组织控制主题和技术控制主题,组织控制主题中增加了云、威胁情报、以及业务连续性的控制点,而技术控制主题主要是增加了关于数据安全等控制点。
图5 2022版新增控制点分布情况
解读:在目前的数字化转型、网络安全威胁复杂的背景下,2022版增加了对企业的业务安全、数据安全、云安全和信息安全的持续控制。
业务安全。在业务越来越依赖信息化的时代背景,2022加强了对业务连续性的支持,如增加了“5.30信息通信技术为业务连续性做好准备”的控制项,确保组织信息和其他相关资产的可用性中断的管理。
数据安全。在数据监管要求越来越严格的背景下,2022版本加强了企业对数据安全的管理控制,比如增加了“8.10信息删除”、“8.12数据泄露”、“8.11数据屏蔽” 控制项。防止敏感信息暴露,并遵守有关信息删除的法律、法规、监管和合同要求。
云安全。针对越来越多的企业开展上云业务、并越来越多地自开发应用,2022版本加强了云服务的安全管理等,比如“5.23使用云服务的信息安全”、“5.23使用云服务的信息安全”,为使用云服务指定和管理信息安全。
信息安全。在APT等网络威胁和攻击越来越多的前提和背景下,2022版本加强了威胁情报、监测监控、应用安全方面提出要加强对组织威胁环境的认识,如增加了“5.7威胁情报”的控制项,以便对威胁采取适当的缓解措施。加强企业对软硬件环境和安全事件的监控控制和管理,避免未授权访问和变更,如增加“8.16监测活动”。检测异常行为和潜在的信息安全事件。
同时增加“7.4物理安全监控”和“8.9配置管理”。检测和阻止未经授权的物理访问。“8.23网页过滤”,保护系统免受恶意软件的破坏并防止访问未经授权的网络资源。“8.28安全编码”,确保软件编写安全,从而减少软件中潜在信息安全漏洞的数量。
03、2022版重大控制变化解读
1)加强对业务连续性的支持
增加和强调了对业务连续性的支持,包括企业应根据业务连续性目标和ICT连续性要求来识别和选择ICT连续性战略,规划、实施、维护和测试ICT准备情况,确保组织信息和其他相关资产的可用性中断。比如在业务连续性管理过程中确定在中断期间调整信息安全控制的要求,以在中断期间保护信息和其他相关资产(见5.29 中断期间的信息安全)。
信息安全事件应按照文件化程序进行响应,包括危机管理活动和业务连续性计划(见5.29和5.30),确保高效、有效地应对信息安全事件。比如设计和实施具有适当冗余的系统架构,为业务连续性做好准备,尤其是在需要较短恢复时间的情况下。许多冗余措施可以成为ICT连续性战略和解决方案的一部分(见8.14信息处理设施的冗余)。
2)加强云环境云服务的安全管理
云环境下的IT概念与传统环境大不相同,这导致了云环境的安全管理也有很大区别,主要建议包括针对云服务的政策、云上资产管理、云上数据的安全管理和云服务供应链的管理。
建立云服务特定政策,管理云服务信息安全。比如定义与使用云服务相关的所有相关信息安全要求;云服务选择标准和云服务使用范围等,同时云服务协议的特点是预先定义的,不接受谈判,因此对于云服务,组织应审查与云服务提供商的云服务协议,以满足组织的机密性、完整性、可用性和信息处理要求,并具有适当的云服务水平目标和云服务质量目标。并应进行相关的风险评估,以识别与使用云服务相关的风险。
加强云上资产管理。在云环境下将资产视为动态,比如可将VM等视为一组动态短期资产;对于公共云服务等第三方资产加以控制;关注协作工作环境的安全,确保云环境的相关资产得到适当的保护、使用和处理(见5.9 信息清单和其他相关资产)。
开展数据传输的安全管理,比如在使用云存储等外部公共服务之前应获得批准,保证组织和与任何外部相关方传输的信息的安全性(见5.14 信息传递)。
云服务供应链的管理。应定义和实施流程和程序,以管理云服务供应链相关的信息安全风险,在供应商关系中保持商定的信息安全水平。如定义适用于云服务的信息安全要求,在整个供应链中传播组织的安全要求等(5.21管理ICT 供应链中的信息安全)。
其他云环境应关注的还包括使用过程中,应关注云环境的安全配置、云上数据的备份、日志记录、云环境的时钟同步、云环境的测试等安全问题。
3)加强个人数据、隐私数据等敏感数据的安全
国家越来越重视对数据的安全,并出台了数据安全法,各行业加强了监管,出台个人隐私等敏感数据政策,数据安全的保护变得越来越重要。2022版针对这种背景,对个人信息、隐私数据等敏感信息补充了关于数据的存储和删除、数据屏蔽、数据传输等数据全生命周期的控制措施和最佳实践。
数据的存储和删除,敏感信息的保存时间不应超过减少不良风险所需的时间披露。应对数据删除进行监控,最佳实践是利用日志跟踪或验证这些删除过程是否已发生。对于供应商应确定并应用控制措施来管理供应商对信息和其他相关资产的访问。例如,供应商协议涉及跨境传输或访问信息时的个人数据保护风险(见8.10信息删除)。
使用数据屏蔽,限制敏感数据的暴露,以满足合法合规性,最佳实践是使用数据屏蔽、假名化或匿名化等技术隐藏此类数据(见8.11数据屏蔽)。
在处理、存储或传输敏感信息时,使用数据泄露预防措施检测和防止个人或系统未经授权披露和提取信息。比如识别和分类信息以防止泄漏(例如个人信息、定价模型和产品设计;监控数据泄漏渠道等(见8.12数据泄露预防)。
4)提高自动化技术水平和利用自动化工具
在对安全管理要求越来越高,控制措施越来越严格的同时,2022建议利用自动化工具来减低安全控制措施的实施成本。比如在职责管理时,可使用自动化工具来识别角色冲突并促进将其删除。在信息资产清单管理时,可利用自动化工具自动执行库存更新。在审查时,可以使用自动测量和报告工具进行有效的定期审查。在终端设备管理时,可通过自动化工具来实施用户终端设备信息的保护。
在恶意软件防范时,可以对系统的软件和数据内容进行定期自动验证;对于配置管理,偏差可通过自动化有效地进行,自动纠正已定义的目标配置。在数据屏蔽时,可以使用自动化和规则来动态实时保护数据;在对应用程序管理时,可使用自动化控制权限的批准(例如批准限制或双重批准)等。
04、总结和建议
2022版的框架简单,易于读者对信息安全控制进行分类;同时增加了控制的属性,可用来实现特定主题的划分和选择,针对性更强,以帮助企业加强信息安全控制的实施,支撑信息安全策略;并且2022版指导的安全控制内容更加详细和具体,使企业更容易实现安全控制的落地。
对于2022版本的出台,我们建议企业应根据2022的最新框架对组织及时开展风险评估,并选择必要合适的控制措施来维护信息安全、云安全和数据安全,做好安全控制升级的计划和实施,以确保您的控制和ISMS符合更新的标准,确保组织能有效应对目前最新的风险。
- 首先利用新的架构对风险进行评估,确定风险和控制要求。
- 根据风险控制对属性进行筛选和确认确定合适的安全控制措施,关注关注国家、行业的信息安全相关的法律、法规、法规和合同要求,制定信息安全管理系统(ISMS)的管理组织架构和制度规定。
- 加强风险管理,降低信息安全漏洞的可能性。
- 制定和监测与属性相关的指标。
- 使用属性(和风险控制要求)作为基础,开展评估、审查和审计。
- 总结经验和持续改进。
作者简介
张奕,谷安(安全牛)研究院研究员,长期从事信息安全、企业数字化转型顶层规划和自动化运维等工作,拥有20年以上IT安全、运维服务和IT咨询经验,已取得CISA、TOGAF、COBIT、ITIL、PMP、CCNA证书。曾在某英国全球性公司北京公司担任IT负责人,以及埃森哲担任IT咨询师。