ISO/IEC 27002:2022的改版要點(diǎn)分析

謝宗曉（中國金融認(rèn)證中心）

甄杰（重慶工商大學(xué)）

董坤祥（山東財(cái)經(jīng)大學(xué)）

1 標(biāo)準(zhǔn)版本的變化概況

ISO/IEC 27002:2022發(fā)布于2022年2月，為第三版，名稱為《信息安全、網(wǎng)絡(luò)安全與隱私保護(hù)信息安全控制》（Information security, cybersecurity and privacy protection—Information security controls）。

ISO/IEC 27002的第一版發(fā)布于2000年，當(dāng)時(shí)為ISO/IEC 17799:2000，名稱為《信息技術(shù) 安全技術(shù) 信息安全管理實(shí)用規(guī)則》（Information technology—Security techniques—Code of practice for information security management）。隨著ISO/IEC 27001:2005的發(fā)布，ISO/IEC 17799:2000改版為ISO/IEC 27002:2005，但內(nèi)容保持了一致，因此，ISO/IEC 27001:2005和ISO/IEC 27002:2005都是第一版。

ISO/IEC 27002的第二版，發(fā)布于2013年，名稱為《信息技術(shù) 安全技術(shù) 信息安全控制實(shí)用規(guī)則（Information technology—Security techniques—Code of practice for information security controls）。和第一版情況類似，同時(shí)發(fā)布的還有ISO/IEC 27001:2013[1-2]。

2 整體環(huán)境（context）1） 環(huán)境，context出現(xiàn)在ISO/IEC 27001:2013中，在GB/T 22080—2016 / ISO/IEC 27001:2013中翻譯為“環(huán)境”，這個(gè)詞本意是“上下文”，或者翻譯為“情境”。實(shí)際上，“上下文”是意思比較準(zhǔn)確和容易理解的。的變化

2019年4月，ISO/IEC JTC 1 / SC 27將其名稱“IT security techniques（信息技術(shù) 安全技術(shù)）”修改為“information security, cybersecurity and privacy protection（信息安全、網(wǎng)絡(luò)安全與隱私保護(hù)）”，這種變化[3]主要是基于安全領(lǐng)域兩個(gè)主要的趨勢。

（1）信息安全向網(wǎng)絡(luò)安全（cybersecurity）轉(zhuǎn)移。網(wǎng)絡(luò)安全的全程為網(wǎng)絡(luò)空間安全（cyberspace security）。雖然諸多文獻(xiàn)認(rèn)為，信息安全和網(wǎng)絡(luò)安全有交集，也有不同，但是也有很多文獻(xiàn)認(rèn)為，網(wǎng)絡(luò)安全的范疇更大一些。但有一點(diǎn)是肯定的，網(wǎng)絡(luò)安全已經(jīng)成為一個(gè)單獨(dú)的研究熱點(diǎn)。

（2）個(gè)人信息保護(hù)和隱私保護(hù)等越來越受到關(guān)注。原則上講，隱私保護(hù)是一個(gè)單獨(dú)的領(lǐng)域，與信息系統(tǒng)沒有必然的關(guān)系。但是，正是因?yàn)樾畔⑾到y(tǒng)和大數(shù)據(jù)等領(lǐng)域的急速發(fā)展，導(dǎo)致隱私泄露變得越來越嚴(yán)重，隱私保護(hù)在原來更多是立法問題、道德約束問題，在現(xiàn)在更成為一個(gè)技術(shù)問題。

隨著上述安全環(huán)境的變化，ISO/IEC 27002:2022的改版也表現(xiàn)出了明顯的變化。雖然ISO/IEC 27002:2022的名稱依然是以信息安全為主，但是其中已經(jīng)加入了網(wǎng)絡(luò)安全和隱私保護(hù)的相關(guān)內(nèi)容。

3 標(biāo)準(zhǔn)框架的變化

諸多文獻(xiàn)都表明，ISO/IEC 27002本質(zhì)是一個(gè)“最佳實(shí)踐2）最佳實(shí)踐，best practice。一般而言，這個(gè)詞被重新定義為“良好實(shí)踐（Good practice）”，如ISO發(fā)布了A guide to good practice。但是，在本次改版中，標(biāo)準(zhǔn)原文1 b）又出現(xiàn)了best practice。”或“良好實(shí)踐”[4-5]，與國內(nèi)網(wǎng)絡(luò)安全等級保護(hù)等其他標(biāo)準(zhǔn)族相比，ISO/IEC 27002的控制集在邏輯關(guān)系上是圍繞控制目標(biāo)的，換句話說，ISO/IEC 27002的控制集并不糾纏于管理類的還是技術(shù)類的，重點(diǎn)是要實(shí)現(xiàn)其預(yù)定的目標(biāo)。這樣設(shè)計(jì)的好處是使整個(gè)標(biāo)準(zhǔn)目標(biāo)清楚，架構(gòu)清晰；缺點(diǎn)也非常明顯，就是控制的落地性不友好。例如，某一個(gè)目標(biāo)的實(shí)現(xiàn)，可能需要多項(xiàng)控制，這些控制可能又散落在不同的點(diǎn)，所以需要專門的“適用性聲明”來映射標(biāo)準(zhǔn)和組織部署之間的關(guān)系。

這樣導(dǎo)致的后果是理解上的歧義，某些目標(biāo)的實(shí)現(xiàn)是否可以達(dá)到預(yù)期？雖然在邏輯上可以通過監(jiān)視與測量等，但是對于具體的控制而言，其效果大部分都是比較主觀或者定性的。延續(xù)ISO 9000的一貫邏輯，既然結(jié)果難以控制，那就應(yīng)該加強(qiáng)過程控制。如上述分析，雖然ISO/IEC 27002的目標(biāo)是統(tǒng)一的、清楚的，但是在實(shí)現(xiàn)過程中卻是模糊的。將控制實(shí)現(xiàn)的自由度限定在一定的范圍，是很有必要的。

ISO/IEC 27002:2022對每一項(xiàng)控制新增了“分類”和“屬性”兩個(gè)維度的描述，在增強(qiáng)控制落地指導(dǎo)的同時(shí)，實(shí)際也限定了控制的選擇范圍。

ISO/IEC 27002:2022的第5章至第8章，按照分類（category）給出了控制，包括：1）人員控制，指控制涉及個(gè)體的人；2）物理控制，這些控制涉及物理實(shí)體；3）技術(shù)控制，這些控制涉及具體技術(shù)；4）組織控制，除上述以外的其他控制。

除此之外，ISO/IEC 27002:2022每一個(gè)控制還增加了5項(xiàng)屬性，相當(dāng)于從不同的視角去理解該項(xiàng)控制。這5項(xiàng)屬性，分別為：1）控制類型（type），控制類型用以表征控制如何改變與信息安全事件發(fā)生相關(guān)的風(fēng)險(xiǎn)，具體包括了預(yù)防（preventive）、檢測（detective）和糾正（corrective）；2）信息安全屬性，指的是機(jī)密性、完整性和可用性；3）網(wǎng)絡(luò)安全觀念，指根據(jù)ISO/IEC TS 27110的描述，以網(wǎng)絡(luò)安全的視角看該項(xiàng)控制屬于識別（identity）、保護(hù)（protect）、檢測（detect）、響應(yīng)（respond）和恢復(fù)（recover）的哪個(gè)階段；4）操作能力，指的是從實(shí)踐者的視角對該項(xiàng)控制進(jìn)行分類，包括：治理、資產(chǎn)管理、信息保護(hù)、人力資源安全、物理安全、系統(tǒng)與網(wǎng)絡(luò)安全、應(yīng)用安全、安全配置、身份與訪問管理、威脅與脆弱性管理、應(yīng)急、供應(yīng)商關(guān)系安全、合規(guī)與符合性、信息安全事件管理和信息安全保障；5）安全域，人為地將控制劃分為4個(gè)域：①治理與生態(tài)系統(tǒng)，包括信息系統(tǒng)安全治理與風(fēng)險(xiǎn)管理、生態(tài)系統(tǒng)網(wǎng)絡(luò)安全管理（包括內(nèi)部和外部利益相關(guān)方）；②保護(hù)，包括IT安全架構(gòu)、IT安全行政管理（administration）、身份與訪問管理、IT安全維護(hù)（maintenance）以及物理和環(huán)境安全；③防御，包括檢測與計(jì)算機(jī)安全事件管理；④彈性（resilience），包括應(yīng)急操作和危機(jī)管理。

4 具體控制的變化

既然是一個(gè)“良好實(shí)踐”，其具體的控制必然隨著認(rèn)識的深入不停地變化，在前序的版本中，控制集也一直在動(dòng)態(tài)的變化中，具體的統(tǒng)計(jì)數(shù)據(jù)如表1所示。

表1 不同版本的控制統(tǒng)計(jì)數(shù)據(jù)

ISO/IEC 27002:2022的分類有了很大的變化，不再像以前一樣，細(xì)分安全域，而是直接分成了組織控制、人員控制、物理控制和技術(shù)控制四大類。事實(shí)上，以前的11個(gè)分類和14個(gè)分類以其他屬性的形式體現(xiàn)其中，例如，操作能力的屬性值就很明顯。鑒于這個(gè)分類的重要性，ISO/IEC 27002:2022附錄中對所有控制與ISO/IEC 27002:2013中的控制進(jìn)行了映射，表2給出了該映射，其中包括了兩個(gè)版本的章節(jié)，以及具體的控制。

表2 不同版本的控制映射關(guān)系

續(xù)表

續(xù)表

續(xù)表