信息化觀察網(wǎng)

本文來自微信公眾號(hào)“安全牛”，作者：張奕，谷安（安全牛）研究院研究員，長(zhǎng)期從事信息安全、企業(yè)數(shù)字化轉(zhuǎn)型頂層規(guī)劃和自動(dòng)化運(yùn)維等工作，擁有20年以上IT安全、運(yùn)維服務(wù)和IT咨詢經(jīng)驗(yàn)，已取得CISA、TOGAF、COBIT、ITIL、PMP、CCNA證書。曾在某英國(guó)全球性公司北京公司擔(dān)任IT負(fù)責(zé)人，以及埃森哲擔(dān)任IT咨詢師。

2022年2月，ISO（國(guó)際標(biāo)準(zhǔn)化組織）更新發(fā)布了ISO/IEC 27002:2022信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)-信息安全控制，以作為組織根據(jù)信息安全管理體系認(rèn)證標(biāo)準(zhǔn)定制和實(shí)施信息安全控制措施的指南。新版標(biāo)準(zhǔn)在2013年ISO/IEC 27002:2013的標(biāo)準(zhǔn)基礎(chǔ)上進(jìn)行了一系列的完善和補(bǔ)充，本文就此展開解讀。

01

27000體系介紹

ISO/IEC 27000標(biāo)準(zhǔn)是由國(guó)際標(biāo)準(zhǔn)化組織（ISO）及國(guó)際電工委員會(huì)（IEC）聯(lián)合定制的一套標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)系列由最佳實(shí)踐所得并提出對(duì)于信息安全管理的建議，包含了信息安全管理體系概述和詞匯、信息安全管理體系實(shí)施指南、信息安全風(fēng)險(xiǎn)管理、信息安全管理系統(tǒng)驗(yàn)證機(jī)構(gòu)認(rèn)證規(guī)范、信息安全管理體系規(guī)范與使用指南、信息安全管理實(shí)用規(guī)則等一系列的信息安全管理系統(tǒng)領(lǐng)域中的風(fēng)險(xiǎn)及相關(guān)管控。

圖1 ISO27000發(fā)展歷史

27001是信息安全管理體系（ISMS），27002是用于實(shí)施時(shí)選擇控制措施時(shí)參考，或作為組織實(shí)施信息安全控制措施的指南，最新版本由信息技術(shù)聯(lián)合技術(shù)委員會(huì)信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)分委員會(huì)編寫，最新版本于2022年發(fā)布，同時(shí)廢止舊版本27002:2013。

02

2022版與2013版的主要區(qū)別

ISO/IEC27002:2022版本于2022年2月發(fā)布，新版本與2013版本發(fā)生了較大的改變，主要是在標(biāo)題中刪除了“最佳實(shí)踐”的叫法，標(biāo)準(zhǔn)名稱改為“信息安全、網(wǎng)絡(luò)安全及隱私保護(hù)-信息安全控制”；總體框架變?yōu)楸容^簡(jiǎn)單的分類；增加了控制措施的相關(guān)屬性；一些控制措施被合并，一些被刪除。

1）重構(gòu)整體總體框架

修訂后的2022版對(duì)框架結(jié)構(gòu)進(jìn)行了重新構(gòu)建，合并了2013版的14個(gè)變?yōu)?個(gè)主題，控制項(xiàng)數(shù)量從2013版的114個(gè)減少到93個(gè)。

圖2 2013版和2022版總體框架對(duì)比

解讀：2022版將控制措施分配到組織、人員、物理、技術(shù)的四個(gè)大主題，簡(jiǎn)單的主題使分類更加簡(jiǎn)單，這樣方便了組織對(duì)安全控制點(diǎn)進(jìn)行選擇歸類，可以通過歸類的特定主題策略支持信息安全策略，以加強(qiáng)信息安全控制的實(shí)施。

2）新增控制措施屬性

修訂后的2022版對(duì)控制措施增加了5個(gè)屬性，分別為控制類型、信息安全屬性、網(wǎng)絡(luò)概念、運(yùn)營(yíng)能力和安全域5個(gè)屬性。

圖3 27002 2022新增的屬性和屬性值

解讀：2022版本的屬性是從安全控制措施的不同場(chǎng)景和角度進(jìn)行描述和分類，以便通過屬性來創(chuàng)建不同場(chǎng)景和角度的安全視圖，以了解適合自己的信息安全控制的最佳實(shí)踐。

圖4控制類型屬性（預(yù)防、監(jiān)測(cè)、糾正）分配情況

比如:控制類型屬性是從事件的時(shí)間（發(fā)生之前、期間或之后）的角度來進(jìn)行描述控制措施。信息安全屬性是從信息安全涉及保護(hù)信息的特征來對(duì)安全控制措施進(jìn)行描述。網(wǎng)絡(luò)安全屬性是從事件發(fā)生前、期間和之后網(wǎng)絡(luò)安全活動(dòng)的角度對(duì)安全控制措施進(jìn)行描述。運(yùn)營(yíng)能力屬性是從信息安全運(yùn)行的控制的角度對(duì)安全控制措施進(jìn)行描述。

3）新增11個(gè)安全控制項(xiàng)

2022版本相對(duì)于2013增加了11個(gè)安全控制項(xiàng)，增加的控制項(xiàng)主要集中在組織控制主題和技術(shù)控制主題，組織控制主題中增加了云、威脅情報(bào)、以及業(yè)務(wù)連續(xù)性的控制點(diǎn)，而技術(shù)控制主題主要是增加了關(guān)于數(shù)據(jù)安全等控制點(diǎn)。

圖5 2022版新增控制點(diǎn)分布情況

解讀：在目前的數(shù)字化轉(zhuǎn)型、網(wǎng)絡(luò)安全威脅復(fù)雜的背景下，2022版增加了對(duì)企業(yè)的業(yè)務(wù)安全、數(shù)據(jù)安全、云安全和信息安全的持續(xù)控制。

•業(yè)務(wù)安全。在業(yè)務(wù)越來越依賴信息化的時(shí)代背景，2022加強(qiáng)了對(duì)業(yè)務(wù)連續(xù)性的支持，如增加了“5.30信息通信技術(shù)為業(yè)務(wù)連續(xù)性做好準(zhǔn)備”的控制項(xiàng)，確保組織信息和其他相關(guān)資產(chǎn)的可用性中斷的管理。

•數(shù)據(jù)安全。在數(shù)據(jù)監(jiān)管要求越來越嚴(yán)格的背景下，2022版本加強(qiáng)了企業(yè)對(duì)數(shù)據(jù)安全的管理控制，比如增加了“8.10信息刪除”、“8.12數(shù)據(jù)泄露”、“8.11數(shù)據(jù)屏蔽”控制項(xiàng)。防止敏感信息暴露，并遵守有關(guān)信息刪除的法律、法規(guī)、監(jiān)管和合同要求。

•云安全。針對(duì)越來越多的企業(yè)開展上云業(yè)務(wù)、并越來越多地自開發(fā)應(yīng)用，2022版本加強(qiáng)了云服務(wù)的安全管理等，比如“5.23使用云服務(wù)的信息安全”、“5.23使用云服務(wù)的信息安全”，為使用云服務(wù)指定和管理信息安全。

•信息安全。在APT等網(wǎng)絡(luò)威脅和攻擊越來越多的前提和背景下，2022版本加強(qiáng)了威脅情報(bào)、監(jiān)測(cè)監(jiān)控、應(yīng)用安全方面提出要加強(qiáng)對(duì)組織威脅環(huán)境的認(rèn)識(shí)，如增加了“5.7威脅情報(bào)”的控制項(xiàng)，以便對(duì)威脅采取適當(dāng)?shù)木徑獯胧＜訌?qiáng)企業(yè)對(duì)軟硬件環(huán)境和安全事件的監(jiān)控控制和管理，避免未授權(quán)訪問和變更，如增加“8.16監(jiān)測(cè)活動(dòng)”。檢測(cè)異常行為和潛在的信息安全事件。

同時(shí)增加“7.4物理安全監(jiān)控”和“8.9配置管理”。檢測(cè)和阻止未經(jīng)授權(quán)的物理訪問。“8.23網(wǎng)頁(yè)過濾”，保護(hù)系統(tǒng)免受惡意軟件的破壞并防止訪問未經(jīng)授權(quán)的網(wǎng)絡(luò)資源。“8.28安全編碼”，確保軟件編寫安全，從而減少軟件中潛在信息安全漏洞的數(shù)量。

03

2022版重大控制變化解讀

1）加強(qiáng)對(duì)業(yè)務(wù)連續(xù)性的支持

增加和強(qiáng)調(diào)了對(duì)業(yè)務(wù)連續(xù)性的支持，包括企業(yè)應(yīng)根據(jù)業(yè)務(wù)連續(xù)性目標(biāo)和ICT連續(xù)性要求來識(shí)別和選擇ICT連續(xù)性戰(zhàn)略，規(guī)劃、實(shí)施、維護(hù)和測(cè)試ICT準(zhǔn)備情況，確保組織信息和其他相關(guān)資產(chǎn)的可用性中斷。比如在業(yè)務(wù)連續(xù)性管理過程中確定在中斷期間調(diào)整信息安全控制的要求，以在中斷期間保護(hù)信息和其他相關(guān)資產(chǎn)（見5.29中斷期間的信息安全）。

信息安全事件應(yīng)按照文件化程序進(jìn)行響應(yīng)，包括危機(jī)管理活動(dòng)和業(yè)務(wù)連續(xù)性計(jì)劃（見5.29和5.30），確保高效、有效地應(yīng)對(duì)信息安全事件。比如設(shè)計(jì)和實(shí)施具有適當(dāng)冗余的系統(tǒng)架構(gòu)，為業(yè)務(wù)連續(xù)性做好準(zhǔn)備，尤其是在需要較短恢復(fù)時(shí)間的情況下。許多冗余措施可以成為ICT連續(xù)性戰(zhàn)略和解決方案的一部分（見8.14信息處理設(shè)施的冗余）。

2）加強(qiáng)云環(huán)境云服務(wù)的安全管理

云環(huán)境下的IT概念與傳統(tǒng)環(huán)境大不相同，這導(dǎo)致了云環(huán)境的安全管理也有很大區(qū)別，主要建議包括針對(duì)云服務(wù)的政策、云上資產(chǎn)管理、云上數(shù)據(jù)的安全管理和云服務(wù)供應(yīng)鏈的管理。

建立云服務(wù)特定政策，管理云服務(wù)信息安全。比如定義與使用云服務(wù)相關(guān)的所有相關(guān)信息安全要求；云服務(wù)選擇標(biāo)準(zhǔn)和云服務(wù)使用范圍等，同時(shí)云服務(wù)協(xié)議的特點(diǎn)是預(yù)先定義的，不接受談判，因此對(duì)于云服務(wù)，組織應(yīng)審查與云服務(wù)提供商的云服務(wù)協(xié)議，以滿足組織的機(jī)密性、完整性、可用性和信息處理要求，并具有適當(dāng)?shù)脑品?wù)水平目標(biāo)和云服務(wù)質(zhì)量目標(biāo)。并應(yīng)進(jìn)行相關(guān)的風(fēng)險(xiǎn)評(píng)估，以識(shí)別與使用云服務(wù)相關(guān)的風(fēng)險(xiǎn)。

加強(qiáng)云上資產(chǎn)管理。在云環(huán)境下將資產(chǎn)視為動(dòng)態(tài)，比如可將VM等視為一組動(dòng)態(tài)短期資產(chǎn)；對(duì)于公共云服務(wù)等第三方資產(chǎn)加以控制；關(guān)注協(xié)作工作環(huán)境的安全，確保云環(huán)境的相關(guān)資產(chǎn)得到適當(dāng)?shù)谋Ｗo(hù)、使用和處理（見5.9信息清單和其他相關(guān)資產(chǎn)）。

開展數(shù)據(jù)傳輸?shù)陌踩芾?，比如在使用云存?chǔ)等外部公共服務(wù)之前應(yīng)獲得批準(zhǔn)，保證組織和與任何外部相關(guān)方傳輸?shù)男畔⒌陌踩裕ㄒ?.14信息傳遞）。

云服務(wù)供應(yīng)鏈的管理。應(yīng)定義和實(shí)施流程和程序，以管理云服務(wù)供應(yīng)鏈相關(guān)的信息安全風(fēng)險(xiǎn)，在供應(yīng)商關(guān)系中保持商定的信息安全水平。如定義適用于云服務(wù)的信息安全要求，在整個(gè)供應(yīng)鏈中傳播組織的安全要求等（5.21管理ICT供應(yīng)鏈中的信息安全）。

其他云環(huán)境應(yīng)關(guān)注的還包括使用過程中，應(yīng)關(guān)注云環(huán)境的安全配置、云上數(shù)據(jù)的備份、日志記錄、云環(huán)境的時(shí)鐘同步、云環(huán)境的測(cè)試等安全問題。

3）加強(qiáng)個(gè)人數(shù)據(jù)、隱私數(shù)據(jù)等敏感數(shù)據(jù)的安全

國(guó)家越來越重視對(duì)數(shù)據(jù)的安全，并出臺(tái)了數(shù)據(jù)安全法，各行業(yè)加強(qiáng)了監(jiān)管，出臺(tái)個(gè)人隱私等敏感數(shù)據(jù)政策，數(shù)據(jù)安全的保護(hù)變得越來越重要。2022版針對(duì)這種背景，對(duì)個(gè)人信息、隱私數(shù)據(jù)等敏感信息補(bǔ)充了關(guān)于數(shù)據(jù)的存儲(chǔ)和刪除、數(shù)據(jù)屏蔽、數(shù)據(jù)傳輸?shù)葦?shù)據(jù)全生命周期的控制措施和最佳實(shí)踐。

數(shù)據(jù)的存儲(chǔ)和刪除，敏感信息的保存時(shí)間不應(yīng)超過減少不良風(fēng)險(xiǎn)所需的時(shí)間披露。應(yīng)對(duì)數(shù)據(jù)刪除進(jìn)行監(jiān)控，最佳實(shí)踐是利用日志跟蹤或驗(yàn)證這些刪除過程是否已發(fā)生。對(duì)于供應(yīng)商應(yīng)確定并應(yīng)用控制措施來管理供應(yīng)商對(duì)信息和其他相關(guān)資產(chǎn)的訪問。例如，供應(yīng)商協(xié)議涉及跨境傳輸或訪問信息時(shí)的個(gè)人數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)（見8.10信息刪除）。

使用數(shù)據(jù)屏蔽，限制敏感數(shù)據(jù)的暴露，以滿足合法合規(guī)性，最佳實(shí)踐是使用數(shù)據(jù)屏蔽、假名化或匿名化等技術(shù)隱藏此類數(shù)據(jù)（見8.11數(shù)據(jù)屏蔽）。

在處理、存儲(chǔ)或傳輸敏感信息時(shí)，使用數(shù)據(jù)泄露預(yù)防措施檢測(cè)和防止個(gè)人或系統(tǒng)未經(jīng)授權(quán)披露和提取信息。比如識(shí)別和分類信息以防止泄漏（例如個(gè)人信息、定價(jià)模型和產(chǎn)品設(shè)計(jì)；監(jiān)控?cái)?shù)據(jù)泄漏渠道等（見8.12數(shù)據(jù)泄露預(yù)防）。

4）提高自動(dòng)化技術(shù)水平和利用自動(dòng)化工具

在對(duì)安全管理要求越來越高，控制措施越來越嚴(yán)格的同時(shí)，2022建議利用自動(dòng)化工具來減低安全控制措施的實(shí)施成本。比如在職責(zé)管理時(shí)，可使用自動(dòng)化工具來識(shí)別角色沖突并促進(jìn)將其刪除。在信息資產(chǎn)清單管理時(shí)，可利用自動(dòng)化工具自動(dòng)執(zhí)行庫(kù)存更新。在審查時(shí)，可以使用自動(dòng)測(cè)量和報(bào)告工具進(jìn)行有效的定期審查。在終端設(shè)備管理時(shí)，可通過自動(dòng)化工具來實(shí)施用戶終端設(shè)備信息的保護(hù)。

在惡意軟件防范時(shí)，可以對(duì)系統(tǒng)的軟件和數(shù)據(jù)內(nèi)容進(jìn)行定期自動(dòng)驗(yàn)證；對(duì)于配置管理，偏差可通過自動(dòng)化有效地進(jìn)行，自動(dòng)糾正已定義的目標(biāo)配置。在數(shù)據(jù)屏蔽時(shí)，可以使用自動(dòng)化和規(guī)則來動(dòng)態(tài)實(shí)時(shí)保護(hù)數(shù)據(jù)；在對(duì)應(yīng)用程序管理時(shí)，可使用自動(dòng)化控制權(quán)限的批準(zhǔn)（例如批準(zhǔn)限制或雙重批準(zhǔn)）等。

04

總結(jié)和建議

2022版的框架簡(jiǎn)單，易于讀者對(duì)信息安全控制進(jìn)行分類；同時(shí)增加了控制的屬性，可用來實(shí)現(xiàn)特定主題的劃分和選擇，針對(duì)性更強(qiáng)，以幫助企業(yè)加強(qiáng)信息安全控制的實(shí)施，支撐信息安全策略；并且2022版指導(dǎo)的安全控制內(nèi)容更加詳細(xì)和具體，使企業(yè)更容易實(shí)現(xiàn)安全控制的落地。

對(duì)于2022版本的出臺(tái)，我們建議企業(yè)應(yīng)根據(jù)2022的最新框架對(duì)組織及時(shí)開展風(fēng)險(xiǎn)評(píng)估，并選擇必要合適的控制措施來維護(hù)信息安全、云安全和數(shù)據(jù)安全，做好安全控制升級(jí)的計(jì)劃和實(shí)施，以確保您的控制和ISMS符合更新的標(biāo)準(zhǔn)，確保組織能有效應(yīng)對(duì)目前最新的風(fēng)險(xiǎn)。

•首先利用新的架構(gòu)對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估，確定風(fēng)險(xiǎn)和控制要求。

•根據(jù)風(fēng)險(xiǎn)控制對(duì)屬性進(jìn)行篩選和確認(rèn)確定合適的安全控制措施，關(guān)注關(guān)注國(guó)家、行業(yè)的信息安全相關(guān)的法律、法規(guī)、法規(guī)和合同要求，制定信息安全管理系統(tǒng)（ISMS）的管理組織架構(gòu)和制度規(guī)定。

•加強(qiáng)風(fēng)險(xiǎn)管理，降低信息安全漏洞的可能性。

•制定和監(jiān)測(cè)與屬性相關(guān)的指標(biāo)。

•使用屬性（和風(fēng)險(xiǎn)控制要求）作為基礎(chǔ)，開展評(píng)估、審查和審計(jì)。

•總結(jié)經(jīng)驗(yàn)和持續(xù)改進(jìn)。