如果將ISO 27001比喻為考題,ISO 27002就好比是參考書,針對考題提供了建議的可行作法,讓組織在因應ISO 27001相關要求時能有對應的實作參考。
依據ISO 27001來實作資訊安全管理系統(Information Security Management System, 簡稱ISMS)的組織,對於ISO 27002這份實作指引一定不陌生,如果將ISO 27001比喻為考題,ISO 27002就好比是參考書,針對考題提供了建議的可行作法,讓組織在因應ISO 27001相關要求時能有對應的實作參考。因此,透過2022年版本的ISO 27002實作指引即可一窺新版ISO 27001對於資訊安全要求的改版走向。
控制措施綜整及網路安全與隱私保護之著墨
順應時代與資訊技術的更新,也為了因應新型態的駭客攻擊樣態,國際標準化組織(ISO)已於2022年2月15日公布最新版本的ISO/IEC 27002:2022 「資訊安全、網路安全與隱私保護-資訊安全控制措施」,有別於2013年版本的ISO 27002將資訊安全管理系統運作分為14個控制領域共計114項控制措施,2022年版本的ISO 27002則是重新綜整為4個控制主題共計93項控制措施,而從該實作指引的名稱以及新增之控制措施,亦能看出資訊安全管理的範疇亦著墨於網路安全與隱私保護的管理。
在新版的ISO 27002中,除了綜整為4個控制主題(Organization, People, Physical與Technological)共計93項控制措施外,對於每一個控制措施也都會再界定該控制措施的控制屬性(Control Attributes):
控制屬性簡述
- Control type (控制型態)
控制措施何時/如何介入因應資安事故之風險結果。
- Information Security Properties (資訊安全特性)
控制措施有助於保持哪些資訊特性(Characteristic)。
- Cybersecurity Concepts (網路安全框架)
控制措施與 ISO/IEC TS 27101 中描述的網路安全框架中定義的網路安全概念的關聯。
- Operational Capabilities (運作能力)
控制措施對應實作者的資訊安全能力。
- Security Domains (安全領域)
控制措施對應所需要的資訊安全領域(fields)、專業能力(expertise)、服務或產品。