iso27001信息安全管理体系最新版:详细说明ISO 27001:2022中新增的11项安全控制措施

详细说明ISO 27001:2022中新增的11项安全控制措施

如果您是处理ISO 27001的安全从业人员，您可能想知道，作为2022年该标准变更的一部分，您需要实施哪些新内容。

在本文中，我将重点介绍ISO 27001中引入的11个新控件。有关更改的一般信息，请参阅本文:ISO 27001 2013与2022修订-有哪些更改?

你会注意到，其中一些新控件与2013年版本中的旧控件非常相似;但是，由于这些控件在ISO 27002:2022中被归类为新控件，因此我在本文中列出了全部11个控件。

作为本文的主要来源，我使用了ISO 27002:2022的指导方针——我已经给出了需求、技术、人员和文档的概述，但是如果您想更深入地了解这些控制，我建议您从ISO网站购买ISO 27002标准。如您所知，要符合ISO 27001，并不是必须遵循ISO 27002的指导方针，这意味着本文中的建议是可选的。

最后，请记住这些控制措施不是强制性的——ISO 27001允许你们在以下情况下排除控制措施:(1)你们没有发现相关风险，(2)没有法律/法规/合同要求实施该特定控制措施。

那么，让我们更详细地回顾一下这11个控件…

A.5.7威胁情报

描述。此控制要求您收集有关威胁的信息并对其进行分析，以便采取适当的缓解措施。这些信息可能是关于特定的攻击，关于攻击者使用的方法和技术，和/或关于攻击趋势。您应该在内部收集这些信息，以及从供应商报告、政府机构公告等外部来源收集这些信息。

技术。较小的公司可能不需要任何与这种控制相关的新技术;相反，他们必须弄清楚如何从现有系统中提取威胁信息。如果他们还没有这样的系统，大公司将需要购买一个系统来提醒他们新的威胁(以及漏洞和事件)。任何规模的公司都必须使用威胁信息来加固他们的系统。

组织/流程。您应该设置如何收集和使用威胁信息的过程，以便在您的IT系统中引入预防性控制，改进您的风险评估，并引入新的安全测试方法。

人。让员工意识到发送威胁通知的重要性，并培训他们如何以及向谁传达这些威胁。

文档。ISO 27001不要求文件;但是，您可以在以下文件中包含有关威胁情报的规则:

供应商安全政策-定义公司与其供应商和合作伙伴之间如何沟通有关威胁的信息。

事件管理程序-定义有关威胁的信息如何在公司内部进行沟通。

安全操作程序-定义如何收集和处理有关威胁的信息。

A.5.23使用云服务的信息安全

描述。这种控制要求您设置云服务的安全要求，以便更好地保护您在云中的信息。这包括购买、使用、管理和终止使用云服务。

技术。在大多数情况下，不需要新技术，因为大多数云服务已经具有安全功能。在某些情况下，您可能需要将服务升级到更安全的服务，而在某些罕见情况下，如果云提供商没有安全功能，则需要更改云提供商。在大多数情况下，需要做的改变是以更彻底的方式使用现有的云安全功能。

组织/流程。您应该建立一个流程来确定云服务的安全要求，并确定选择云提供商的标准;此外，您应该定义一个流程来确定云的可接受使用，以及在取消使用云服务时确定安全需求。

人。让员工意识到使用云服务的安全风险，培训员工如何使用云服务的安全特性。

文档。ISO 27001不要求文件;但是，如果您是一家较小的公司，您可能会在供应商安全策略中包含有关云服务的规则。较大的公司可能会制定一个单独的政策，专门关注云服务的安全性。

A.5.30为业务连续性做好信息通信技术准备

描述。这种控制要求您的信息和通信技术为潜在的中断做好准备，以便在需要时提供所需的信息和资产。这包括准备计划、实现、维护和测试。

技术。如果您没有投资于支持系统弹性和冗余的解决方案，则可能需要引入这样的技术—范围可能从数据备份到冗余通信链接。这些解决方案需要根据您的风险评估以及您需要的数据和系统恢复速度来规划。

组织/流程。除了计划流程(需要考虑恢复的风险和业务需求)之外，还应该为技术设置维护流程，并为灾难恢复和/或业务连续性计划设置测试流程。

人。让员工意识到可能发生的潜在中断，并培训他们如何维护IT和通信技术，以便为中断做好准备。

文档。ISO 27001不要求文件;但是，如果你是一家小型公司，你可以在以下文件中包括资讯及通讯科技的准备情况:

灾难恢复计划——准备计划、实施和维护

内部审计报告-准备测试

如果您是一个较大的组织，或者如果您实施了ISO 22301，那么您应该通过业务影响分析、业务连续性战略、业务连续性计划和业务连续性测试计划和报告来记录准备情况。

A.7.4物理安全监控

描述。这种控制要求您监视敏感区域，以便只有经过授权的人员才能访问它们。这可能包括您的办公室、生产设施、仓库和其他场所。

技术。根据您的风险，您可能需要实施报警系统或视频监控;你也可以决定实现一个非技术解决方案，比如一个人观察这个区域(例如，一个警卫)。

组织/流程。您应该定义谁负责监视敏感区域，以及使用什么通信渠道来报告事件。

人。让员工意识到未经授权进入敏感区域的风险，并培训他们如何使用监控技术。

文档。ISO 27001不要求文件;但是，您可以在以下文档中包含物理安全监控:

规范物理安全的程序-监控什么，谁负责监控

事件管理程序-如何报告和处理物理安全事件

A.8.9配置管理

描述。这种控制要求您管理您的技术的整个安全配置周期，以确保适当的安全级别并避免任何未经授权的更改。这包括配置定义、实现、监视和审查。

技术。需要管理其配置的技术可以包括软件、硬件、服务或网络。较小的公司可能不需要任何额外的工具就能处理配置管理，而较大的公司可能需要一些执行已定义配置的软件。

组织/流程。您应该设置一个建议、审查和批准安全配置的流程，以及管理和监视配置的流程。

人。让员工了解为什么需要严格控制安全配置，并培训他们如何定义和实现安全配置。

文档。ISO 27001要求对这种控制进行记录。如果您是一家小公司，您可以在您的安全操作规程中记录配置规则。较大的公司通常会有一个单独的程序来定义配置过程。

您通常会有单独的规范来定义每个系统的安全配置，以避免频繁更新上一段中提到的文档。此外，需要记录对配置的所有更改，以启用审计跟踪。

A.8.10信息删除

描述。此控制要求您在不再需要时删除数据，以避免敏感信息泄露并符合隐私和其他要求。这可能包括删除您的IT系统、可移动媒体或云服务。

技术。您应该根据法规或合同要求，或根据您的风险评估，使用安全删除工具。

组织/流程。您应该建立一个流程，该流程将定义需要删除哪些数据以及何时删除，并定义删除的职责和方法。

人。让员工意识到为什么删除敏感信息很重要，并培训他们如何正确地删除敏感信息。

文档。ISO 27001不要求文件;但是，您可以在以下文档中包含有关信息删除的规则:

处置和销毁策略-如何删除可移动媒体上的信息

可接受使用政策-普通用户需要如何删除其计算机和移动设备上的敏感信息

安全操作程序-系统管理员需要如何删除服务器和网络上的敏感信息

较大的组织可能也有数据保留策略，定义每种类型的信息需要多长时间，以及何时需要删除。

A.8.11数据屏蔽

描述。此控制要求您将数据屏蔽与访问控制一起使用，以限制敏感信息的暴露。这主要是指个人数据，因为它们受到隐私法规的严格监管，但也可能包括其他类别的敏感数据。

技术。如果隐私或其他法规要求，公司可以使用假名化或匿名化工具来掩盖数据。其他方法，如加密或混淆也可以使用。

组织/流程。您应该设置流程来确定需要屏蔽哪些数据，谁可以访问哪种类型的数据，以及将使用哪些方法来屏蔽数据。

人。让员工意识到屏蔽数据的重要性，并培训他们需要屏蔽哪些数据以及如何屏蔽。

文档。ISO 27001不要求文件;但是，您可以在以下文档中包含有关数据屏蔽的规则:

信息分类策略——确定哪些数据是敏感的，哪些数据类别需要屏蔽

访问控制策略-定义谁可以访问什么类型的被屏蔽或未被屏蔽数据

安全开发策略——定义屏蔽数据的技术

大型公司或需要遵守欧盟通用数据保护条例(EU GDPR)和类似隐私法规的公司还应准备以下文件:

私隐政策/个人资料保护政策-资料掩蔽的整体责任

匿名化和假名化策略-在隐私法规的上下文中如何实现数据屏蔽的详细信息

A.8.12防止数据泄露

描述。这种控制要求您应用各种数据泄漏措施，以避免敏感信息被未经授权的泄露，并在发生此类事件时及时发现。这包括IT系统、网络或任何设备中的信息。

技术。为此目的，您可以使用系统来监视潜在的泄漏通道，包括电子邮件、可移动存储设备、移动设备等，以及防止信息泄漏的系统，例如，禁用下载到可移动存储、电子邮件隔离、限制复制和粘贴数据、限制将数据上传到外部系统、加密等。

组织/流程。你应该建立流程来确定数据的敏感性，评估各种技术的风险(例如，用智能手机拍摄敏感信息的风险)，监控具有潜在数据泄露的渠道，并定义使用哪种技术来阻止敏感数据的暴露。

人。让员工了解公司处理的敏感数据类型以及防止泄漏的重要性，并培训他们在处理敏感数据时什么是允许的，什么是不允许的。

文档。ISO 27001不要求文件;但是，您可能会在以下文档中包含防止数据泄漏的规则:

信息分类策略——越是敏感的数据，越是需要防范

安全操作程序-管理员应该使用哪些系统进行监控和预防

可接受使用的政策-什么是允许的，什么是不允许的普通用户

A.8.16监控活动

描述。这种控制要求您监视系统，以便识别异常活动，并在需要时激活适当的事件响应。这包括监视您的IT系统、网络和应用程序。

技术。对于您的网络、系统和应用程序，您可以监视以下内容:安全工具日志、事件日志、谁在访问什么、主要管理员的活动、入站和出站流量、代码的正确执行以及系统资源的执行情况。

组织/流程。您应该建立一个流程，定义将监视哪些系统;如何确定监测的责任;以及监测方法，为异常活动建立基线，并报告事件和事故。

人。让员工意识到他们的行为会受到监控，并解释什么是正常行为，什么是不正常行为。培训IT管理员使用监控工具。

文档。ISO 27001不要求文件;但是，如果您是一家较小的公司，您可能会在安全操作程序中包含有关监控的规则。较大的公司可能会制定一个单独的程序来描述如何监控他们的系统。

除此之外，保存监测活动的记录也是有用的。

A.8.23 Web过滤

描述。这种控制要求您管理您的用户正在访问哪些网站，以保护您的IT系统。这样，您就可以防止系统受到恶意代码的危害，还可以防止用户使用来自Internet的非法材料。

技术。您可以使用阻止访问特定IP地址的工具，这可能包括使用反恶意软件。你也可以使用非技术方法，比如列出禁止访问的网站，并要求用户不要访问这些网站。

组织/流程。您应该设置流程来确定哪些类型的网站是不允许的，以及如何维护网络过滤工具。

人。让员工意识到使用互联网的危险，以及在哪里可以找到安全使用的指导方针，并培训系统管理员如何进行网络过滤。

文档。ISO 27001不要求文件;然而，如果你是一家较小的公司，你可能会在以下文件中包含有关网页过滤的规则:

安全操作流程—为系统管理员定义web过滤的规则。

可接受使用政策-为所有用户定义可接受的互联网使用规则。

较大的公司可能会开发一个单独的程序来描述如何执行网络过滤。

A.8.28安全编码

描述。这种控制要求您建立安全编码原则，并将其应用到您的软件开发中，以减少软件中的安全漏洞。这可以包括编码之前、期间和之后的活动。

技术。您可能会使用工具来维护库清单，保护源代码免受篡改，记录错误和攻击，以及进行测试;您还可以使用安全组件，如身份验证、加密等。

组织/流程。你应该建立一个过程来定义安全编码的更低基线——包括内部软件开发和来自第三方的软件组件，一个过程来监控新出现的威胁和对安全编码的建议，一个过程来决定可以使用哪些外部工具和库，一个过程来定义编码之前、编码期间、编码之后(审查和维护)和软件修改所做的活动。

人。让您的软件开发人员意识到使用安全编码原则的重要性，并培训他们使用安全编码的方法和工具。

文档。ISO 27001不要求文件;但是，如果您是一家较小的公司，您可能会在安全开发策略中包含有关安全编码的规则。较大的公司可能会为每个软件开发项目开发单独的安全编码过程。

按预算获得ISO/IEC 27001认证。

我们的顾问将在整个认证过程中与您合作，从ISMS范围确定到现场认证审核支持。除此之外，我们还为成功获得认证的客户提供各种持续的支持服务，经常参与信息安全风险评估并进行内部ISMS审核等。

我们的ISO-27001咨询服务包括:

信息安全管理体系(ISMS)战略/框架选择-根据行业、法规遵从性和认证要求，确定ISMS开发的更佳方法。例如，在德国运营的美国陆军医院是否应该使用NIST、HITRUST、ISO-27001或这三个标准的某种组合?什么是正确的方法，您如何开始ISO-27001认证100,000人，跨国组织?

ISMS范围确定与优化-范围确定对ISO-27001认证的成功至关重要。范围需要足够宽，以确保它将满足关键涉众(例如，客户、股东)，但也需要足够窄，以确保初始工作仍然是可管理的。

风险评估-风险评估/管理是ISMS的基础。我们相信ISO-27005比许多其他风险评估标准有优势，因为它非常适合非资产为基础的方法。这种“信息和作用于它的过程”的方法产生了一个更直观的过程，在更短的时间内带来更大的价值。虽然我们是ISO-27005的倡导者，但我们也使用其他标准，包括OCTAVE, OCTAVE- s, NIST SP 800-30和NZ-AST 4360。

风险处理计划制定——风险处理计划定义了所需的ISO-27002控制，包括必要的程度和严格程度，以将风险处理(缓解)到管理层认为可接受的水平。它是一个基本的ISMS工件，形成了差距评估的基础/标准。

ISMS差距评估——了解信息安全管理体系(例如ISO-27001)的当前状态和期望状态之间的差距是“优先路线图”(差距补救计划)的关键输入。

安全度量——安全度量对于ISMS的更佳操作至关重要，因为它们是展示大多数ISMS中固有的持续改进原则的组成部分。这项服务的重点是简化测量和报告的过程，从而系统地提高ISMS的有效性。独立于所利用的安全框架，ISO-27004提供了关于安全度量的指导。

政策、标准和程序(PSP)支持- PSP是ISMS的支柱。值得注意的是，尽管psp是ISMS中最基本的元素，但它们也是最复杂的有效实现之一。这主要是由于psp的全面性和相互依赖性。在开始PSP工作之前需要考虑的关键决策要点:

结构:理想情况下，政策、标准和程序是分离的，这简化了正在进行的管理和版本管理。然而，大多数组织将它们结合起来，这就产生了复杂性，其中一个特定的过程是多个标准和/或过程的组成部分。

表示:大多数组织为psp使用线性文档格式，这在传达它们的层次性质和相互依赖性方面做得很差。Wikis、sharepoint和/或专用的ISMS管理系统正逐渐被用来应对这一挑战。

受众:psp通常有多个受众(例如，员工、IT人员、承包商、顾问、管理人员)。受众、结构和演示是高度相互关联的，对于确保psp被理解和遵循至关重要。如果期望的受众不能轻易地找到与他们试图解决的特定问题相关的所有信息，那么几乎肯定会发生不一致。

业务:公司的规模、风险/风险容忍度、内部专业知识、资源可用性、预算和当前的PSP成熟度水平显著影响工作。

外部:法规和外部业务上下文可以显著地影响工作。

版本控制:确保所有必要的变更批准都是可审计的、版本历史记录被保留并且只有当前版本可以访问的机制是至关重要的。

ISMS内部审核——大多数ISMS的PDCA模型中不可或缺的一部分是要求进行内部审核，以确定其ISMS的控制目标、控制、过程和程序是否:

符合ISO-27001及相关法律法规的要求;

符合已确定的资讯保安要求;

有效地实施和保持;和按预期执行。

认证审核支持——许多组织认为，在认证审核的一个或两个阶段中，拥有一名支点安全审核员可以简化流程，并降低可能被引用的不符合项的风险。

27001证书扩展——我们经常提倡组织将ISO-27001证书的初始范围最小化，以限制对业务的破坏程度。在监督审核期间扩展证书是逐步扩大ISMS范围的最简单方法。

持续的风险管理团队成员——保持风险管理委员会的更佳组成，确保风险管理职能的持续有效性，这对ISMS的持续有效性至关重要。许多组织倾向于包含一个具有跨组织/行业专业知识的独立客观的第三方，以优化风险管理委员会的运作。

事件响应支持——实施程序和其他控制措施，能够及时发现和响应事件，这对ISMS和持续改进的原则至关重要。许多组织没有专业知识和/或资源来充分解决内部需求。

ISO 27001常见问题解答

ISO 27001是全球公认的ISO 27000系列标准中最重要的标准，为组织使用它来保持信息安全提供指导和逻辑框架。它是信息安全的“事实上的标准”，被广泛认为是向关键利益相关者证明你有一个强大的网络安全计划的更佳方式。

ISMS是一种系统的、基于风险的方法，用于管理敏感数据，使其保持安全。

风险评估或风险分析是实施ISO 27001的关键要素。其目的是确定与信息资产的保密性、完整性和可用性丧失相关的风险，并对每种风险的重要性进行排序，以便集中风险缓解工作。

寻求获得或维持ISO 27001认证的组织必须根据ISO 27001标准第9.2条进行定期内部审核。内部审核每年至少由内部人员或可信赖的第三方进行一次，其目的是帮助管理层验证ISMS的有效性(例如，是否符合组织自身的要求以及标准的要求)。

ISO 27001认证审核由认证机构(通常称为注册商)执行，确定组织的信息安全管理系统(ISMS)是否符合ISO 27001标准的要求。如果调查结果令人满意，则认证ISMS符合标准。ISO 27001认证审核涵盖整个ISMS，并在三年ISO 27001认证周期的年进行。

ISO 27001监督审核涵盖了ISMS的一个子集，由认证机构在ISO 27001认证周期的第2年和第3年进行。