新版ISO 27002新增11項控制措施:
相較2013年版本ISO 27002之控制措施,新版ISO 27002多了11項控制措施,分別是:
- 5.4 Threat intelligence (威脅情資)
- 5.23 Information security for use of cloud services (雲服務的資訊安全)
- 5.30 ICT readiness for business continuity (資通訊技術營運持續整備)
- 7.4 Physical security monitoring (實體安全監視)
- 8.9 Configuration management (組態管理)
- 8.10 Information deletion (資訊刪除)
- 8.11 Data masking (資料遮罩)
- 8.12 Data leakage prevention (資料外洩防護)
- 8.16 Monitoring activities (監視活動)
- 8.23 Web filtering (網站過濾)
- 8.28 Secure coding (安全程式碼撰寫)
因2013年版本之ISO 27002並無這11個控制措施的參考指引,因此相對應的管理措施勢必將會成為組織未來因應新版ISO 27001的要求時所需要面臨的重要課題。
新版ISO 27002整併舊版ISO 27002部分控制措施:
2013年版本ISO 27002指導文件中,是依照不同控制領域來提供該領域所需要的控制措施,也因此相同性質的控制措施可能就會有重複控管的情形,例如8.3.1 Management of removable media、8.3.2 Disposal of media、8.3.3 Physical media transfer與11.2.5 Removal of assets都是有關儲存媒體之管理,因此,在2022年版本的ISO 27002實作指引中,便將這幾項控制措施的實作指引整併成一項7.10 Storage media,歸屬於實體控制主題的一項控制措施。
除了上述舊版ISO 27002所提之不同控制領域提供相同性質控制措施進行整併外,亦有部分控制措施同屬相同控制領域,整併這類型的控制措施對於資訊安全管理的完整性將有所助益,例如9.1.1 Access control policy與9.1.2 Access to networks and network services都是在提供存取的管理要求,可以在規劃時期就一併考量,故在2022年版本的ISO 27002指導文件中,便將這兩項控制措施整併成一項5.15 Access control,歸屬於組織控制主題的一項控制措施。這一類的整併還有9.2.2 User access provisioning、9.2.5 Review of user access rights與9.2.6 Removal or adjustment of access rights整併成5.18 Access rights。
下一篇,分享給您"新版ISO 27002指導文一共整併57個舊版的控制措施成為新版的24個控制措施"讓您更能一目了然。