谢宗晓(中国金融认证中心)
甄杰(重庆工商大学)
董坤祥(山东财经大学)
ISO/IEC 27002:2022发布于2022年2月,为第三版,名称为《信息安全、网络安全与隐私保护信息安全控制》(Information security, cybersecurity and privacy protection—Information security controls)。
ISO/IEC 27002的第一版发布于2000年,当时为ISO/IEC 17799:2000,名称为《信息技术 安全技术 信息安全管理实用规则》(Information technology—Security techniques—Code of practice for information security management)。随着ISO/IEC 27001:2005的发布,ISO/IEC 17799:2000改版为ISO/IEC 27002:2005,但内容保持了一致,因此,ISO/IEC 27001:2005和ISO/IEC 27002:2005都是第一版。
ISO/IEC 27002的第二版,发布于2013年,名称为《信息技术 安全技术 信息安全控制实用规则(Information technology—Security techniques—Code of practice for information security controls)。和第一版情况类似,同时发布的还有ISO/IEC 27001:2013[1-2]。
2019年4月,ISO/IEC JTC 1 / SC 27将其名称“IT security techniques(信息技术 安全技术)”修改为“information security, cybersecurity and privacy protection(信息安全、网络安全与隐私保护)”,这种变化[3]主要是基于安全领域两个主要的趋势。
(1)信息安全向网络安全(cybersecurity)转移。网络安全的全程为网络空间安全(cyberspace security)。虽然诸多文献认为,信息安全和网络安全有交集,也有不同,但是也有很多文献认为,网络安全的范畴更大一些。但有一点是肯定的,网络安全已经成为一个单独的研究热点。
(2)个人信息保护和隐私保护等越来越受到关注。原则上讲,隐私保护是一个单独的领域,与信息系统没有必然的关系。但是,正是因为信息系统和大数据等领域的急速发展,导致隐私泄露变得越来越严重,隐私保护在原来更多是立法问题、道德约束问题,在现在更成为一个技术问题。
随着上述安全环境的变化,ISO/IEC 27002:2022的改版也表现出了明显的变化。虽然ISO/IEC 27002:2022的名称依然是以信息安全为主,但是其中已经加入了网络安全和隐私保护的相关内容。
诸多文献都表明,ISO/IEC 27002本质是一个“最佳实践2)最佳实践,best practice。一般而言,这个词被重新定义为“良好实践(Good practice)”,如ISO发布了A guide to good practice。但是,在本次改版中,标准原文1 b)又出现了best practice。”或“良好实践”[4-5],与国内网络安全等级保护等其他标准族相比,ISO/IEC 27002的控制集在逻辑关系上是围绕控制目标的,换句话说,ISO/IEC 27002的控制集并不纠缠于管理类的还是技术类的,重点是要实现其预定的目标。这样设计的好处是使整个标准目标清楚,架构清晰;缺点也非常明显,就是控制的落地性不友好。例如,某一个目标的实现,可能需要多项控制,这些控制可能又散落在不同的点,所以需要专门的“适用性声明”来映射标准和组织部署之间的关系。
这样导致的后果是理解上的歧义,某些目标的实现是否可以达到预期?虽然在逻辑上可以通过监视与测量等,但是对于具体的控制而言,其效果大部分都是比较主观或者定性的。延续ISO 9000的一贯逻辑,既然结果难以控制,那就应该加强过程控制。如上述分析,虽然ISO/IEC 27002的目标是统一的、清楚的,但是在实现过程中却是模糊的。将控制实现的自由度限定在一定的范围,是很有必要的。
ISO/IEC 27002:2022对每一项控制新增了“分类”和“属性”两个维度的描述,在增强控制落地指导的同时,实际也限定了控制的选择范围。
ISO/IEC 27002:2022的第5章至第8章,按照分类(category)给出了控制,包括:1)人员控制,指控制涉及个体的人;2)物理控制,这些控制涉及物理实体;3)技术控制,这些控制涉及具体技术;4)组织控制,除上述以外的其他控制。
除此之外,ISO/IEC 27002:2022每一个控制还增加了5项属性,相当于从不同的视角去理解该项控制。这5项属性,分别为:1)控制类型(type),控制类型用以表征控制如何改变与信息安全事件发生相关的风险,具体包括了预防(preventive)、检测(detective)和纠正(corrective);2)信息安全属性,指的是机密性、完整性和可用性;3)网络安全观念,指根据ISO/IEC TS 27110的描述,以网络安全的视角看该项控制属于识别(identity)、保护(protect)、检测(detect)、响应(respond)和恢复(recover)的哪个阶段;4)操作能力,指的是从实践者的视角对该项控制进行分类,包括:治理、资产管理、信息保护、人力资源安全、物理安全、系统与网络安全、应用安全、安全配置、身份与访问管理、威胁与脆弱性管理、应急、供应商关系安全、合规与符合性、信息安全事件管理和信息安全保障;5)安全域,人为地将控制划分为4个域:①治理与生态系统,包括信息系统安全治理与风险管理、生态系统网络安全管理(包括内部和外部利益相关方);②保护,包括IT安全架构、IT安全行政管理(administration)、身份与访问管理、IT安全维护(maintenance)以及物理和环境安全;③防御,包括检测与计算机安全事件管理;④弹性(resilience),包括应急操作和危机管理。
既然是一个“良好实践”,其具体的控制必然随着认识的深入不停地变化,在前序的版本中,控制集也一直在动态的变化中,具体的统计数据如表1所示。
表1 不同版本的控制统计数据
ISO/IEC 27002:2022的分类有了很大的变化,不再像以前一样,细分安全域,而是直接分成了组织控制、人员控制、物理控制和技术控制四大类。事实上,以前的11个分类和14个分类以其他属性的形式体现其中,例如,操作能力的属性值就很明显。鉴于这个分类的重要性,ISO/IEC 27002:2022附录中对所有控制与ISO/IEC 27002:2013中的控制进行了映射,表2给出了该映射,其中包括了两个版本的章节,以及具体的控制。
表2 不同版本的控制映射关系
续表
续表
续表