2022年2月，國際標準化組織發布更新發布了信息安全、網絡安全和隱私保護-信息安全控制（ISO/IEC 27002:2022），以作為組織根據信息安全管理體系認證標準定制和實施信息安全控制措施的指南。

該新版標準在2013年的標準基礎上，突出了多項變化：首先，增加了“網絡安全、隱私保護”的相關條款，更好地契合組織對信息安全管理的新需求，第二，該標準將控制責任主體分為組織、人員、物理和技術 4個維度；第三，新規對信息安全管理體系中的控制項數量進行了一系列調整，覆蓋信息安全、網絡安全和隱私保護等共計93個相關控制；第四，該標準在控制結構組成中增加了控制屬性元素，包括控制類型、信息安全屬性、 網絡安全概念、 運營能力和安全域 。

基于更新內容，Intertek信息安全專家武強表示：新版標準能夠幫助組織在最新的信息技術與網絡環境下更好地選擇信息安全管理控制措施，并且保證組織實施信息安全控制的實時性、先進性、可用性和實用性。但同時，標準的更新對企業的安全技術及安全控制提出了更高的要求。

據此，Intertek專家為企業提供以下建議：

1. 新版ISO/IEC 27002:2022完整覆蓋了信息安全、網絡安全和隱私保護方面的控制，適用于任何有信息安全、并期望通用信息安全控制以實現最佳實踐的組織。企業應在原有控制措施基礎上，重點加強對隱私和網絡安全的關注。
2. 組織可直接依照風險評估中的風險處置想達到的效果 ( 即目的 ) 來選擇ISO/IEC 27002:2022基于組織、人員、物理和技術 4 個維度的合適的控制。
3. 對照新版標準的 93 個控制，組織可比較當前的控制實現和新版是否一致，可評估是否需要新的控制或提出修改需要，以使組織自身的信息安全管控水平和能力處于領先地位。
4. 依據控制的 5 類屬性的不同值，組織可創建滿足不同于場景下的各種業務、法律法規要求和風險處置要求。這種簡潔的控制結構和控制使用方式，給組織在選擇信息安全控制提供了靈活性和可操作性。
5. 新標準的更新變化為新環境下信息安全管理指明了方向， Intertek 強烈建議立即將新標變化納入到組織的信息安全管理過程中，保證未來在該領域的認證會更加有效。

Intertek是獲得UKAS英國皇家認可委員會認可的信息安全認證機構，可為客戶提供全面信息安全管理體系的綜合應對方案，包括：保障業務、個人隱私保護、IT應用及云服務安全、應對組織不可抵抗風險。

了解更多Intertek信息安全管理體系相關服務，請點擊以下了解更多。
http://www.bbzkl.cn/service/ISO-IEC27002

關于Intertek天祥集團

Intertek是全球領先的全面質量保障服務機構，始終以專業、精準、快速、熱情的全面質量保障服務，為客戶制勝市場保駕護航。憑借在全球100多個國家的1,000多家實驗室和分支機構，Intertek致力于以創新和定制的保障、測試、檢驗和認證解決方案，為客戶的運營和供應鏈帶來全方位的安心保障。

詳情請登錄：www.bbzkl.cn