(全球TMT2022年3月16日讯)2022年2月,国际标准化组织发布更新发布了信息安全、网络安全和隐私保护-信息安全控制(ISO/IEC 27002:2022),以作为组织根据信息安全管理体系认证标准定制和实施信息安全控制措施的指南。

打开网易新闻 查看精彩图片

据此,Intertek专家为企业提供以下建议:

  1. 新版ISO/IEC 27002:2022完整覆盖了信息安全、网络安全和隐私保护方面的控制,适用于任何有信息安全、并期望通用信息安全控制以实现最佳实践的组织。企业应在原有控制措施基础上,重点加强对隐私和网络安全的关注。
  2. 组织可直接依照风险评估中的风险处置想达到的效果(即目的)来选择ISO/IEC 27002:2022基于组织、人员、物理和技术4个维度的合适的控制。
  3. 对照新版标准的93个控制,组织可比较当前的控制实现和新版是否一致,可评估是否需要新的控制或提出修改需要,以使组织自身的信息安全管控水平和能力处于领先地位。
  4. 依据控制的5类属性的不同值,组织可创建满足不同于场景下的各种业务、法律法规要求和风险处置要求。这种简洁的控制结构和控制使用方式,给组织在选择信息安全控制提供了灵活性和可操作性。
  5. 新标准的更新变化为新环境下信息安全管理指明了方向,Intertek 强烈建议立即将新标变化纳入到组织的信息安全管理过程中,保证未来在该领域的认证会更加有效。