iso270012022信息安全体系:获得ISO 27001认证的好处

更新时间：2024-05-09 浏览次数：205次

详细说明ISO 27001:2022中新增的11项安全控制措施

如果您是处理ISO 27001的安全从业人员，您可能想知道，作为2022年该标准变更的一部分，您需要实施哪些新内容。

在本文中，我将重点介绍ISO 27001中引入的11个新控件。有关更改的一般信息，请参阅本文:ISO 27001 2013与2022修订-有哪些更改?

你会注意到，其中一些新控件与2013年版本中的旧控件非常相似;但是，由于这些控件在ISO 27002:2022中被归类为新控件，因此我在本文中列出了全部11个控件。

作为本文的主要来源，我使用了ISO 27002:2022的指导方针——我已经给出了需求、技术、人员和文档的概述，但是如果您想更深入地了解这些控制，我建议您从ISO网站购买ISO 27002标准。如您所知，要符合ISO 27001，并不是必须遵循ISO 27002的指导方针，这意味着本文中的建议是可选的。

最后，请记住这些控制措施不是强制性的——ISO 27001允许你们在以下情况下排除控制措施:(1)你们没有发现相关风险，(2)没有法律/法规/合同要求实施该特定控制措施。

A.5.7威胁情报

描述。此控制要求您收集有关威胁的信息并对其进行分析，以便采取适当的缓解措施。这些信息可能是关于特定的攻击，关于攻击者使用的方法和技术，和/或关于攻击趋势。您应该在内部收集这些信息，以及从供应商报告、政府机构公告等外部来源收集这些信息。

技术。较小的公司可能不需要任何与这种控制相关的新技术;相反，他们必须弄清楚如何从现有系统中提取威胁信息。如果他们还没有这样的系统，大公司将需要购买一个系统来提醒他们新的威胁(以及漏洞和事件)。任何规模的公司都必须使用威胁信息来加固他们的系统。

组织/流程。您应该设置如何收集和使用威胁信息的过程，以便在您的IT系统中引入预防性控制，改进您的风险评估，并引入新的安全测试方法。

人。让员工意识到发送威胁通知的重要性，并培训他们如何以及向谁传达这些威胁。

文档。ISO 27001不要求文件;但是，您可以在以下文件中包含有关威胁情报的规则:

供应商安全政策-定义公司与其供应商和合作伙伴之间如何沟通有关威胁的信息。

事件管理程序-定义有关威胁的信息如何在公司内部进行沟通。

安全操作程序-定义如何收集和处理有关威胁的信息。

A.5.23使用云服务的信息安全

描述。这种控制要求您设置云服务的安全要求，以便更好地保护您在云中的信息。这包括购买、使用、管理和终止使用云服务。

技术。在大多数情况下，不需要新技术，因为大多数云服务已经具有安全功能。在某些情况下，您可能需要将服务升级到更安全的服务，而在某些罕见情况下，如果云提供商没有安全功能，则需要更改云提供商。在大多数情况下，需要做的改变是以更彻底的方式使用现有的云安全功能。

组织/流程。您应该建立一个流程来确定云服务的安全要求，并确定选择云提供商的标准;此外，您应该定义一个流程来确定云的可接受使用，以及在取消使用云服务时确定安全需求。

人。让员工意识到使用云服务的安全风险，培训员工如何使用云服务的安全特性。

文档。ISO 27001不要求文件;但是，如果您是一家较小的公司，您可能会在供应商安全策略中包含有关云服务的规则。较大的公司可能会制定一个单独的政策，专门关注云服务的安全性。

A.5.30为业务连续性做好信息通信技术准备

描述。这种控制要求您的信息和通信技术为潜在的中断做好准备，以便在需要时提供所需的信息和资产。这包括准备计划、实现、维护和测试。

技术。如果您没有投资于支持系统弹性和冗余的解决方案，则可能需要引入这样的技术—范围可能从数据备份到冗余通信链接。这些解决方案需要根据您的风险评估以及您需要的数据和系统恢复速度来规划。

组织/流程。除了计划流程(需要考虑恢复的风险和业务需求)之外，还应该为技术设置维护流程，并为灾难恢复和/或业务连续性计划设置测试流程。

人。让员工意识到可能发生的潜在中断，并培训他们如何维护IT和通信技术，以便为中断做好准备。

文档。ISO 27001不要求文件;但是，如果你是一家小型公司，你可以在以下文件中包括资讯及通讯科技的准备情况:

灾难恢复计划——准备计划、实施和维护

内部审计报告-准备测试

如果您是一个较大的组织，或者如果您实施了ISO 22301，那么您应该通过业务影响分析、业务连续性战略、业务连续性计划和业务连续性测试计划和报告来记录准备情况。

A.7.4物理安全监控

描述。这种控制要求您监视敏感区域，以便只有经过授权的人员才能访问它们。这可能包括您的办公室、生产设施、仓库和其他场所。

技术。根据您的风险，您可能需要实施报警系统或视频监控;你也可以决定实现一个非技术解决方案，比如一个人观察这个区域(例如，一个警卫)。

组织/流程。您应该定义谁负责监视敏感区域，以及使用什么通信渠道来报告事件。

人。让员工意识到未经授权进入敏感区域的风险，并培训他们如何使用监控技术。

文档。ISO 27001不要求文件;但是，您可以在以下文档中包含物理安全监控:

规范物理安全的程序-监控什么，谁负责监控

事件管理程序-如何报告和处理物理安全事件

A.8.9配置管理

描述。这种控制要求您管理您的技术的整个安全配置周期，以确保适当的安全级别并避免任何未经授权的更改。这包括配置定义、实现、监视和审查。

技术。需要管理其配置的技术可以包括软件、硬件、服务或网络。较小的公司可能不需要任何额外的工具就能处理配置管理，而较大的公司可能需要一些执行已定义配置的软件。

组织/流程。您应该设置一个建议、审查和批准安全配置的流程，以及管理和监视配置的流程。

人。让员工了解为什么需要严格控制安全配置，并培训他们如何定义和实现安全配置。

文档。ISO 27001要求对这种控制进行记录。如果您是一家小公司，您可以在您的安全操作规程中记录配置规则。较大的公司通常会有一个单独的程序来定义配置过程。

您通常会有单独的规范来定义每个系统的安全配置，以避免频繁更新上一段中提到的文档。此外，需要记录对配置的所有更改，以启用审计跟踪。

A.8.10信息删除

描述。此控制要求您在不再需要时删除数据，以避免敏感信息泄露并符合隐私和其他要求。这可能包括删除您的IT系统、可移动媒体或云服务。

技术。您应该根据法规或合同要求，或根据您的风险评估，使用安全删除工具。

组织/流程。您应该建立一个流程，该流程将定义需要删除哪些数据以及何时删除，并定义删除的职责和方法。

人。让员工意识到为什么删除敏感信息很重要，并培训他们如何正确地删除敏感信息。

文档。ISO 27001不要求文件;但是，您可以在以下文档中包含有关信息删除的规则:

处置和销毁策略-如何删除可移动媒体上的信息

可接受使用政策-普通用户需要如何删除其计算机和移动设备上的敏感信息

安全操作程序-系统管理员需要如何删除服务器和网络上的敏感信息

较大的组织可能也有数据保留策略，定义每种类型的信息需要多长时间，以及何时需要删除。

A.8.11数据屏蔽

描述。此控制要求您将数据屏蔽与访问控制一起使用，以限制敏感信息的暴露。这主要是指个人数据，因为它们受到隐私法规的严格监管，但也可能包括其他类别的敏感数据。

技术。如果隐私或其他法规要求，公司可以使用假名化或匿名化工具来掩盖数据。其他方法，如加密或混淆也可以使用。

组织/流程。您应该设置流程来确定需要屏蔽哪些数据，谁可以访问哪种类型的数据，以及将使用哪些方法来屏蔽数据。

人。让员工意识到屏蔽数据的重要性，并培训他们需要屏蔽哪些数据以及如何屏蔽。

文档。ISO 27001不要求文件;但是，您可以在以下文档中包含有关数据屏蔽的规则:

信息分类策略——确定哪些数据是敏感的，哪些数据类别需要屏蔽

访问控制策略-定义谁可以访问什么类型的被屏蔽或未被屏蔽数据

安全开发策略——定义屏蔽数据的技术

大型公司或需要遵守欧盟通用数据保护条例(EU GDPR)和类似隐私法规的公司还应准备以下文件:

私隐政策/个人资料保护政策-资料掩蔽的整体责任

匿名化和假名化策略-在隐私法规的上下文中如何实现数据屏蔽的详细信息

A.8.12防止数据泄露

描述。这种控制要求您应用各种数据泄漏措施，以避免敏感信息被未经授权的泄露，并在发生此类事件时及时发现。这包括IT系统、网络或任何设备中的信息。

技术。为此目的，您可以使用系统来监视潜在的泄漏通道，包括电子邮件、可移动存储设备、移动设备等，以及防止信息泄漏的系统，例如，禁用下载到可移动存储、电子邮件隔离、限制复制和粘贴数据、限制将数据上传到外部系统、加密等。

组织/流程。你应该建立流程来确定数据的敏感性，评估各种技术的风险(例如，用智能手机拍摄敏感信息的风险)，监控具有潜在数据泄露的渠道，并定义使用哪种技术来阻止敏感数据的暴露。

人。让员工了解公司处理的敏感数据类型以及防止泄漏的重要性，并培训他们在处理敏感数据时什么是允许的，什么是不允许的。

文档。ISO 27001不要求文件;但是，您可能会在以下文档中包含防止数据泄漏的规则:

信息分类策略——越是敏感的数据，越是需要防范

安全操作程序-管理员应该使用哪些系统进行监控和预防

可接受使用的政策-什么是允许的，什么是不允许的普通用户

A.8.16监控活动

描述。这种控制要求您监视系统，以便识别异常活动，并在需要时激活适当的事件响应。这包括监视您的IT系统、网络和应用程序。

技术。对于您的网络、系统和应用程序，您可以监视以下内容:安全工具日志、事件日志、谁在访问什么、主要管理员的活动、入站和出站流量、代码的正确执行以及系统资源的执行情况。

组织/流程。您应该建立一个流程，定义将监视哪些系统;如何确定监测的责任;以及监测方法，为异常活动建立基线，并报告事件和事故。

人。让员工意识到他们的行为会受到监控，并解释什么是正常行为，什么是不正常行为。培训IT管理员使用监控工具。

文档。ISO 27001不要求文件;但是，如果您是一家较小的公司，您可能会在安全操作程序中包含有关监控的规则。较大的公司可能会制定一个单独的程序来描述如何监控他们的系统。

除此之外，保存监测活动的记录也是有用的。

A.8.23 Web过滤

描述。这种控制要求您管理您的用户正在访问哪些网站，以保护您的IT系统。这样，您就可以防止系统受到恶意代码的危害，还可以防止用户使用来自Internet的非法材料。

技术。您可以使用阻止访问特定IP地址的工具，这可能包括使用反恶意软件。你也可以使用非技术方法，比如列出禁止访问的网站，并要求用户不要访问这些网站。

组织/流程。您应该设置流程来确定哪些类型的网站是不允许的，以及如何维护网络过滤工具。

人。让员工意识到使用互联网的危险，以及在哪里可以找到安全使用的指导方针，并培训系统管理员如何进行网络过滤。

文档。ISO 27001不要求文件;然而，如果你是一家较小的公司，你可能会在以下文件中包含有关网页过滤的规则:

安全操作流程—为系统管理员定义web过滤的规则。

可接受使用政策-为所有用户定义可接受的互联网使用规则。

较大的公司可能会开发一个单独的程序来描述如何执行网络过滤。

A.8.28安全编码

描述。这种控制要求您建立安全编码原则，并将其应用到您的软件开发中，以减少软件中的安全漏洞。这可以包括编码之前、期间和之后的活动。

技术。您可能会使用工具来维护库清单，保护源代码免受篡改，记录错误和攻击，以及进行测试;您还可以使用安全组件，如身份验证、加密等。

组织/流程。你应该建立一个过程来定义安全编码的更低基线——包括内部软件开发和来自第三方的软件组件，一个过程来监控新出现的威胁和对安全编码的建议，一个过程来决定可以使用哪些外部工具和库，一个过程来定义编码之前、编码期间、编码之后(审查和维护)和软件修改所做的活动。

人。让您的软件开发人员意识到使用安全编码原则的重要性，并培训他们使用安全编码的方法和工具。

文档。ISO 27001不要求文件;但是，如果您是一家较小的公司，您可能会在安全开发策略中包含有关安全编码的规则。较大的公司可能会为每个软件开发项目开发单独的安全编码过程

ISO 27001

在资讯安全管理系统(ISMS)中取得卓越成就

ISO 27001标准:

保护你的信息资产的关键

ISO 27001是为了明确组织建立、实施、维护和持续改进信息安全管理体系(ISMS)的要求而制定的。获得ISO 27001认证表明他们能够保护重要的客户信息、员工数据、财务/会计信息、知识产权和其他第三方信息。该标准为组织提供了系统的方法来计划、实施、运行和持续改进其ISMS。

ISO 27001标准使用了许多ISO 9001的原则，类似于其他管理体系标准，如ISO 17025(实验室)和ISO 13485(医疗器械)。

ISO 27001与ISO 9001的区别在于明确了与信息安全相关的附加/其他要求。

为什么要实施ISO 27001?

ISO 27001的实施是贵组织信息安全管理的最终基准。如果保持客户和贸易伙伴的信任是您业务的关键目标之一，那么获得此认证是必要的。它验证了您的信息安全管理方法，并向客户和其他人保证他们的信息在您的组织中是安全的。

理想情况下，此认证可以帮助您加强组织所有流程和方面的数据安全性。它确保您的数据免受各种威胁的安全，如网络犯罪、病毒攻击、隐私泄露、损坏、破坏、丢失、滥用和盗窃。无论您的流程大小或复杂程度如何，ISO 27001都可以帮助您在组织的特定环境中加强数据安全性。

获得认证后，您的组织将在以下方面比竞争对手更具优势:

由独立和认可的认证机构对国际标准合规性的认可

提高准备、预防、减轻和恢复任何数据安全威胁或攻击的能力

为您的组织提供一个标准化框架，帮助您在一个地方管理所有信息资产

一种保护任何形式的信息(即数字信息、纸质数据或云数据)的简便方法

通过及时的风险评估和预防措施，降低信息安全管理的成本

我们的ISO 27001认证顾问如何帮助您?

为了获得ISO 27001标准认证，您需要有意识的计划和准备。合规帮助咨询有限责任公司的ISO 27001认证顾问可以帮助您。我们提供一致的指导，帮助您开发信息安全管理体系(ISMS)，并使其符合ISO 27001要求。如果需要，我们可以为您的员工提供培训，使他们了解ISO 27001的过程方法，并据此操作ISMS。

我们经验丰富的顾问在整个认证过程中为客户提供持续的咨询。有了他们的专业支持，您可以轻松实现ISMS，同时满足所有文档需求。

我们的认证咨询服务包括解释ISO 27001要求、差距分析和差距填补建议、培训实施协助、认证准备审查和内部审核。我们的专业顾问确保您的ISMS在各个方面都符合要求，并保证它将获得认证。

我们努力使您的ISO 27001认证不仅是一项正式文件化的活动或对您业务的认可，而且是一种奠定强大信息安全文化基础的方式。凭借我们久经考验的咨询服务，我们确保我们建立的ISMS为您的业务、客户和所有其他利益相关者群体增加价值。

为什么要聘请合规帮助咨询有限责任公司的ISO认证顾问?

行业专业知识:我们在广泛的行业和服务部门协助开发和实施ISMS。我们在ISO认证领域已经工作了十多年。

高水平的专业团队:我们的团队由专业的ISO 27001认证顾问组成，他们在与各种类型和规模的组织合作方面拥有丰富的经验。他们可以根据独特的业务类型提供定制的方法来获得ISO认证。

最快的认证成果:通过我们简化和有条不紊的方法，我们确保您的企业以最快的速度获得认证，从开始到结束最多需要90天。

具有成本效益的服务:我们通过一致的咨询支持，消除了ISO认证过程的复杂性，确保您的资源和成本投资得到优化。