信息安全管理体系(InformationSecurityManagementSystems,ISMS)是组织整体管理体系的一个部分,是基于风险评估建立、实施、运行、监视、评审、保持和持续改进信息安全等一系列的管理活动,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用的方法的体系。
GB/T22080/ISO/IEC27001是建立和维护信息安全管理体系的标准,它要求组织通过一系列的过程,如确定信息安全管理体系范围,制定信息安全方针和策略,明确管理职责,以风险评估为基础选择控制目标和控制措施等,是组织达到动态的、系统的、全员参与的、制度化的,以预防为主的信息安全管理方式。
信息安全管理体系适用于所有类型的组织(例如:商业企业、政府机构、非盈利组织),包括但不限于,银行、证券、保险等金融机构;交通、能源等大型国有企业;互联网数据中心(IDC)服务提供商;软件和信息技术服务企业;公共管理、社会保障和社会组织等。
2022年2月,国际标准化组织(ISO)更新发布了ISO/IEC 27002《Information security, cybersecurity and privacy protection — Information security controls》(信息安全、网络安全和隐私保护 信息安全控制),可为组织制定和实施信息安全控制措施提供指南。它考虑了一个组织独特的信息安全风险环境,通过选择、实施和管理信息安全控制,为组织信息安全管理指明了方向。该标准适用于任何有信息安全及期望通用信息安全控制实现最佳实践的组织。该标准代替了ISO/IEC 27002:2013。
新版本与2013版本发生了较大的变化,主要是在标题中删除了“最佳实践”,标准名称改为“信息安全、网络安全及隐私保护-信息安全控制”;总体框架变为比较简单的分类;增加了控制措施的相关属性;一些控制措施被合并,一些被删除。具体见下:
1、重构整体总体框架
修订后的2022版对框架结构进行了重新构建,合并了2013版的14个变为4个主题,控制项数量从2013版的114个减少到93个。
2、新增控制措施属性
修订后的2022版对控制措施增加了5个属性,分别为控制类型、信息安全属性、网络概念、运营能力和安全域5个属性。
3、新增11个安全控制项
增加的控制项主要集中在组织控制主题和技术控制主题,组织控制主题中增加了云、威胁情报、以及业务连续性的控制点,而技术控制主题主要是增加了关于数据安全等控制点。
2022版本相对于2013增加了11个安全控制项,增加的控制项主要集中在组织控制主题和技术控制主题,组织控制主题中增加了云、威胁情报、以及业务连续性的控制点,而技术控制主题主要是增加了关于数据安全等控制点。
新版标准能够帮助组织在最新的信息技术与网络环境下更好地选择信息安全管理控制措施,并且保证组织实施信息安全控制的实时性、先进性、可用性和实用性。但同时,标准的更新对组织的安全技术及安全控制提出了更高的要求。
