引言
ISO/IEC 27002:2022和ISO/IEC27001:2022标准于2022年的2月与10月分别亮相,取代了先前的2013版。在新版本推出后的三年内,所有已获得2013版ISO27001认证的组织须要逐步完成转版认证工作,即采用2022版的标准进行认证。
相较于2013版本,新版标准引入了一系列的更新。为帮助组织深入理解这些修改,本文将详细解读新版本的变更内容,并提供一份关于如何基于新版本进行信息安全管理体系建设、优化和认证的具体指南。通过参考和实践这些策略和建议,组织将能有效地建立和完善自身的信息安全管理体系,从而顺利地获取新版ISO27001的认证。
(一)标准名称的变化
(二)标准内容的变化
在Zui新的ISO/IEC27002:2022标准中,明确列出了93个控制项,这些控制项涵盖了4个主题和15个安全运营能力域。这些改动使得新版标准更具有针对性和实用性,更能满足现代信息安全管理的需求。
1.15个安全运营能力域
运营能力是从组织的信息安全能力角度来看待控制的一个属性。包括治理、资产管理、信息保护、人力资源安全、物理安全、系统和网络安全、应用安全、安全配置、身份和访问管理、威胁和漏洞管理、连续性、供应商关系安全、法律和合规性、信息安全事件管理和信息安全保障。
新标准的15个运营能力域与旧标准的14个控制域之间的对应关系如下表:
2.4个主题和93个控制项
修订后的2022版将93项控制措施分配到组织、人员、物理、技术四大主题,这样方便了组织对安全控制点进行选择归类,通过归类的特定主题策略支持信息安全策略,以加强信息安全控制的实施。
图2:标准ISO 27002:2022的4个主题和93个控制项
2022版本相对于2013增加了11个安全控制项,包括:威胁情报、云服务使用的信息安全、业务连续性中ICT准备、物理安全监控、配置管理、信息删除、数据脱敏、数据防泄露、监控活动、网页过滤和安全编码。
增加的控制项主要集中在组织和技术这两大主题,组织控制主题中增加了云、威胁情报,以及业务连续性的控制点,而技术控制主题主要是增加了关于配置管理、数据安全等控制点。
新版中增加的11个控制项说明如下表:
在信息安全管理体系建设和取得认证的过程中,寻求专业咨询机构的协助能够为组织带来重大益处。咨询机构的专业团队不仅能够帮助组织深入理解新标准的要求,更能够提供定制化的解决方案,指导如何构建和更新信息安全管理体系以满足这些标准。
咨询机构在协助组织建设信息安全管理体系并Zui终获得认证的过程中,将通过持续的培训和知识传递,有力地提升组织员工的信息安全意识和技能熟练度。这不仅能够强化员工的信息安全素养,也能提升整个组织的信息安全防御能力,助力组织在日益复杂的信息安全环境中稳健前行。
(一)信息安全管理体系的建设
在建设信息安全管理体系过程中,组织需深入理解新版本ISO27001和ISO27002的标准要求和参考意见,并设立专职的信息安全团队,负责信息安全管理体系的构建、实施及维护。
首要步骤是对组织现有的信息安全状况进行评估,明确可能导致信息资产泄露、破坏或丢失的威胁及这些威胁可能造成的影响。信息安全风险评估的目标不仅在于保护信息资产,也通过评估来规划合适的安全措施,以确保业务的连续性。
实施风险评估的方法多样,比如通过对标ISO27001和ISO27002的差距分析和风险评估,基于资产的风险评估,对特定业务流程或IT流程的风险评估,或者使用漏洞扫描和渗透测试进行技术评估等。其中,基于资产的风险评估在ISO27001认证项目中被广泛应用,主要通过识别信息资产、威胁和脆弱性三个要素,并在此基础上进行分析和量化,使用预选的风险评估模型计算安全事件的发生可能性、潜在损失及对组织的影响即安全风险值。进行资产评估时,可以参考《GB/T20984-2022 信息安全技术 信息安全风险评估方法》的相关内容。
根据信息安全评估结果,参考ISO27002的控制要求,针对性地选择符合组织实际需求的信息安全控制措施来管理风险。在此过程中,组织需要制定一系列的政策和流程,即创建一套信息安全管理制度体系文件,以指导信息安全管理工作,并确保所有员工明确自身在信息安全管理中的职责和任务。
体系文件编制完成后,按照文件的控制要求进行审核与批准并发布实施,至此,信息安全管理体系将进入运行阶段,组织应进行至少3个月的试运行,试运行的目的是通过实施各项策略、程序和各种作业指导性文件等一系列体系文件,充分发挥体系本身的各项功能,检验设计的体系在实际运行中存在的不足并进行相应的调整。
试运行结束后,应进行体系的内部审核,以检查信息安全管理体系是否正常运行并符合ISO27001的要求。管理层需要定期审查信息安全管理体系的运行状况和是否能满足组织的业务需求和目标。根据内部审核和管理层审查的结果,组织应持续优化信息安全管理体系,确保其始终满足组织的需求和目标。
完成内部审核和管理层审查后,组织可以邀请认证机构进行认证审核。若顺利通过审核,即可获得ISO27001的认证证书。
(二)信息安全管理体系的优化
对于已经获得2013版ISO27001认证证书的组织而言,需要深入理解ISO 27001:2022与ISO27001:2013之间的差异以及这些差异的实际意义。
在此基础上,对现有的信息安全管理系统进行全面审查,明确其在符合新标准要求方面的优势,以及在哪些环节还存在改进的需要。
针对审查结果,制定详细的改进行动计划,该计划应包含对现有政策和程序的修改,新的控制措施的引入,以及必要的额外培训等内容。对于新版中新增的控制项,需要依据组织的实际状况,在现有的信息安全管理制度中进行相应的补充和完善。例如,新增《数据安全管理办法》《威胁情报管理办法》《安全配置管理办法》和《云服务安全管理办法》等内容,在现有的《信息系统开发安全管理制度》中补充和更新安全编码的要求。
完成所有改进行动后,仍需要进行至少3个月的试运行,并执行内部审核,确保满足了所有新版标准的要求。组织的管理层需要审查更新后的信息安全管理体系,确认其是否符合组织的业务需求和目标。
Zui后阶段,邀请认证机构进行认证审核。成功通过审核后,组织即可获取ISO27001:2022的认证证书。
(三)信息安全管理体系建设的增值服务-重点领域专项建设
1.数据安全体系设计
数据安全管理体系应当是信息安全管理体系的重要组成部分,组织在进行数据安全管理体系建设时,要确保与现有安全管理体系的融合,并把数据安全管理体系的运营纳入到现有的安全体系运营中来。
组织可结合数据安全相关法律法规和行业监管要求,参考ISO27002标准要求,在对关键业务流程和业务系统深入理解的基础上,梳理组织的数据资产,明确数据的分布、流转和处理过程,识别敏感数据的安全风险。基于风险评估的结果,制定和实施数据安全策略,包括建立数据安全管理组织、制定数据安全管理制度流程、部署数据安全技术工具等。
数据安全管理组织架构,可以参照信息安全管理体系的四层设计,即决策层、管理层、执行层、监督层,在原有信息安全管理组织体系的基础上,对每一层级补充数据安全的职责。
数据安全管理制度体系也可分为四层架构,每一层作为上一层的支撑。
第一层是管理总纲,即《数据安全管理制度》,是组织数据安全顶层的方针和策略,应明确数据安全治理的目标和重点;
第二层是管理制度,应对数据安全管理活动中的各类管理内容建立安全管理制度,如《数据生命周期安全管理制度》《数据分类分级安全管理制度》《数据安全应急响应制度》《数据安全合规评估制度》等;
第三层是操作流程和规范性文件,是作为制度要求下指导数据安全策略落地的指南,如《数据安全分类分级操作指南》《数据安全技术防护操作指南》《数据安全审计规范》等指导性文件;
第四层是流程图和表单文件,是作为数据安全落地运营过程中产生的执行文件,如《数据资产管理清单》《数据使用申请审批表》《数据安全定级流程图》等。
依据组织数据安全建设的方针策略,围绕数据生命周期各阶段的安全要求,建立与制度流程相配套的技术和工具,如数据防泄露工具、数据脱敏工具、数据备份工具、数据销毁工具等。
数据安全管理团队应定期监控和审计数据安全控制措施的效果,发现并及时处理数据安全事件。基于监控和审计的结果,持续改进数据安全管理体系。
2.信息科技外包管理体系设计
作为信息安全管理体系的关键组成部分,信息科技外包管理体系对于依赖外包服务商执行大量开发、测试和运维任务的组织来说尤为重要,他们必须加强对信息科技外包服务商的安全管理。
特别是对于银行和保险机构,根据《银行保险机构信息科技外包风险监管办法》(银保监办发〔2021〕141号)规定,它们需要对信息科技外包活动进行规范,并强化对信息科技外包风险的管控。在遵循此办法的这些机构还应参考ISO27002:2022标准中“供应商关系安全”领域的控制要求,并结合外包商及其员工的安全管理实践,来构建信息科技外包管理组织架构,以及更新和完善信息科技外包管理体系文件。
管理体系文件应包括信息科技外包商安全管理办法、信息科技外包人员安全管理办法等,明确规定信息科技外包的种类、准入标准、重要外包商的尽职调查流程和内容、信息科技外包合同管理、信息科技外包监控评估、信息科技外包风险管理以及信息安全外包的安全管理等方面的内容。
实施这些工作将帮助组织更有效地识别和管理与外包商和外包人员相关的安全风险,预防因外包服务可能导致的信息泄露、数据丢失、业务中断、资金损失等安全问题的发生。
3.信息系统开发生命周期安全体系设计
在信息安全管理体系中,信息系统开发生命周期安全管理是一个重要组成部分。组织应参考ISO27002:2022标准中“应用安全”领域的控制要求,结合安全开发生命周期实践,关注如何在整个信息系统的开发过程中,从需求分析、设计、编码、测试到部署和维护,都融入安全性的考虑。
组织需要制定一个明确的策略,定义在整个信息系统开发生命周期中如何进行安全管理。此策略应包括对安全需求的识别、安全设计原则、安全编码实践、安全测试以及在部署和维护过程中如何进行安全管理的指南。
在系统需求分析阶段,要识别和明确安全需求。这可能包括对数据的保护、对系统访问的控制,以及如何防止和应对安全事件等。
在设计和编码阶段,需要确保安全需求被纳入系统设计中,并遵循安全编码实践,例如避免常见的安全漏洞(如注入攻击、跨站脚本攻击等)。
在测试阶段,除了测试功能性需求外,还需要测试安全需求是否得到满足。这可能包括对系统的渗透测试、恶意软件扫描等。
在部署和维护阶段,需要确保系统的安全性。例如,需要控制对生产环境的访问,定期对系统进行安全审计,并定期更新和补丁管理。
对员工进行培训,保证员工有足够的安全知识和技能,可以提升整个生命周期的安全性。例如,开发人员需要了解如何避免常见的安全漏洞,测试人员需要知道如何进行安全测试,运维人员需要知道如何保护生产环境的安全。
提升信息安全防护:在建设信息安全管理体系的过程中,可以帮助组织识别和管理信息安全风险,提高信息安全防御能力,减少安全事故发生的可能性。
增强信任度:获得ISO27001认证,代表组织已经达到了国际信息安全管理的标准,可以增加客户、合作伙伴以及其他利益相关者对组织的信任度。
合规性:信息安全管理体系可以帮助组织满足法规、行业规定以及合同中的信息安全要求,避免由于违反这些要求而产生的法律责任和经济损失。
提高效率:通过整合和优化信息安全控制措施,信息安全管理体系可以提高组织的运作效率。
保护业务连续性:通过预防和应对信息安全事件,信息安全管理体系可以保护组织的业务连续性,减少由于信息安全事件导致的业务中断。
促进业务增长:对于那些视信息安全为重要考量因素的客户,组织的信息安全管理能力可能会成为客户选择组织作为合作伙伴的一个重要因素。
员工教育与意识提升:通过信息安全管理体系的实施,可以提高员工的信息安全意识和技能,使他们能更好地识别和防范信息安全风险。
利于应对未来挑战:持续优化的信息安全管理体系能够帮助组织应对新的技术、威胁和业务模式带来的挑战。
资源投入:信息安全管理体系的建设和认证需要投入大量的时间、人力和财力资源。例如,需要培训员工、购买和实施安全控制措施,以及聘请咨询服务。
组织文化和员工意识:如果组织的文化和员工的意识不重视信息安全,那么信息安全管理体系的实施可能会遇到阻力。要改变这种情况,可能需要进行大量的宣传和教育工作。
风险评估:识别和评估信息安全风险是信息安全管理体系的关键步骤,但这是一项复杂的任务,需要专业的知识和技能。
技术挑战:实施某些安全控制措施可能需要在技术上进行一些调整,这可能会带来一些技术挑战。
合规性:满足所有相关的法规、行业规定以及合同要求可能会是一项挑战。
持续改进:信息安全管理体系的建设和认证不是一次性的任务,而是需要持续改进的过程。许多组织在实施了初步的信息安全管理体系后,可能会发现维持和改进信息安全管理体系是一项挑战。
变更管理:组织的业务、技术和环境可能会发生变化,这可能会对信息安全管理体系造成影响。组织需要有效的变更管理过程,以确保信息安全管理体系能适应这些变化。
面对以上可能存在的挑战,组织可以考虑采取以下策略来应对:
确保资源:信息安全管理体系的建设和认证需要在预算中预留出必要的资源,包括时间、人力和财力。确保项目的成功实施需要获得高层管理的承诺和支持,以及各部门的积极参与和配合。
建立信息安全文化:建立一种文化,使所有员工都理解并接受信息安全是他们日常工作的一部分。通过提供定期的安全培训和教育,增强员工的安全意识。
风险管理:组织应当建立一套全面的风险管理流程,包括风险识别、评估、处理和监控。风险管理不应是一次性活动,而应当是持续的过程。
技术支持:在需要技术支持的地方,考虑引入合适的技术专家或咨询服务。他们可以帮助组织选择和实施适当的安全控制措施。
合规性考虑:需要在规划阶段就充分考虑合规性要求,以确保组织的信息安全管理体系满足所有相关的法规、行业规定和合同要求。
持续改进:组织需要建立一种持续改进的文化和流程,以确保信息安全管理体系能随着组织和环境的变化而改进。
变更管理:制定有效的变更管理流程,确保组织的变更能够得到恰当的处理,并且信息安全管理体系能够适应这些变更。
内部和外部审计:定期进行内部和外部审计,以确认信息安全管理体系的有效性,并识别出需要改进的地方。
项目内容:为银行ISO27001信息安全管理体系提供差距分析、风险评估、体系建设、体系落地及审核支持等系列咨询服务,协助银行持续优化完善ISO27001体系,深化体系落地应用,将认证范围扩大至所有信息系统技术管理、软件开发测试、系统建设、运行维护和业务运营相关的信息安全管理活动,不断提高银行信息安全管理工作水平。项目方案:
第一阶段:项目启动与现状调研
充分确认项目范围和目标的基础上制定项目详细实施计划,交付物清单。确定项目管理模式以及双方需要准备的资料。通过对收集的银行相关资料的审阅,并实施人员访谈和调查问卷,个别部分可能采用技术检查,以了解银行信息安全管理现状。
第二阶段:差距分析与风险评估
调研信息安全管理现状与新版ISO27001和ISO27002的差距;基于信息资产视角、业务流程视角识别物理、网络、系统、应用、IT服务流程和人员风险,并采用适当的风险评估方法评估可能存在的潜在风险。
第三阶段:体系建立与完善
建立符合ISO 27001标准管理体系;按照ISO27002Zui新标准进行适应性调整。包括管理流程的设计、流程文档的开发和评审、流程的部署及改进,以及体系文件的发布和培训等。
第四阶段:体系试运行
对优化后的体系进行试运行,以验证体系的适用性和有效性;配合银行实施体系有效性测量、信息安全管理体系内审、管理评审,并指导不符合项的整改。
第五阶段:内部预审与外部审核
通过内审方式对人、流程、工具的协作运行进行检查和审核,并对发现的问题及时进行整改,以优化改进,达到正式审核的要求。
第六阶段:获得证书
配合认证机构完成ISO27001认证的各阶段的审核工作,并确保获得ISO27001证书。在项目实施过程中,提供宣传资料与培训,内容包括但不限于:ISO27001管理制度宣贯培训、ISO27001内审培训以及专业认证培训等增值服务。
(二)某医疗机构信息安全管理体系建设咨询服务
项目内容:在公司现有信息安全管理体系的基础上,参考ISO27001信息安全管理体系zuijia实践,明确集团与分支机构的职责边界,建立符合公司当前业务发展的信息安全管理体系,并对数据安全管理体系进行专项建设。
项目方案:
第一阶段:现状及行业调研、差距分析与风险评估
通过资料收集、现场访谈、问卷调查等方式,对公司当前的信息安全管理相关的组织结构、业务特征、制度规范、IT基础设施、日常管理、运行操作等内容进行调查,对照新版ISO27002中的控制要求、行业监管要求等进行差距分析和风险评估。
第二阶段:信息安全规划
根据公司业务发展战略、目标和需要,结合信息安全特点及风险评估结果,参考标准、行业发展趋势及zuijia实践,定位公司信息安全目标,立足信息安全管理,协助公司制定未来两年信息安全规划。
第三阶段:信息安全制度体系建设
通过完善现有的信息安全组织架构,明确不同信息安全组织、不同角色的信息安全定位和职责以及相互关系,对信息安全风险进行控制管理。并在信息安全组织架构下,考虑数据安全组织架构设计的整合工作。
依据信息安全法规标准,在现有制度体系的基础上,充分融合ISO27001信息安全管理标准规范、等级保护相关要求,以总部、分支机构实际业务需求为基础,建立集团信息安全管理制度体系,完成制度文件的编写。
在项目实施过程中,提供宣传资料与培训,内容包括但不限于:信息安全管理制度宣贯培训、信息安全意识培训、数据安全相关法律法规培训以及专业认证培训等增值服务。