ISO/IEC 27002:2022的改版要点分析

2022-09-05 11:06谢宗晓中国金融认证中心
中国质量与标准导报 2022年3期
关键词:续表信息安全网络安全

谢宗晓(中国金融认证中心)

甄杰(重庆工商大学)

董坤祥(山东财经大学)

1 标准版本的变化概况

ISO/IEC 27002:2022发布于2022年2月,为第三版,名称为《信息安全、网络安全与隐私保护信息安全控制》(Information security, cybersecurity and privacy protection—Information security controls)。

ISO/IEC 27002的第一版发布于2000年,当时为ISO/IEC 17799:2000,名称为《信息技术 安全技术 信息安全管理实用规则》(Information technology—Security techniques—Code of practice for information security management)。随着ISO/IEC 27001:2005的发布,ISO/IEC 17799:2000改版为ISO/IEC 27002:2005,但内容保持了一致,因此,ISO/IEC 27001:2005和ISO/IEC 27002:2005都是第一版。

ISO/IEC 27002的第二版,发布于2013年,名称为《信息技术 安全技术 信息安全控制实用规则(Information technology—Security techniques—Code of practice for information security controls)。和第一版情况类似,同时发布的还有ISO/IEC 27001:2013[1-2]。

2 整体环境(context)1) 环境,context出现在ISO/IEC 27001:2013中,在GB/T 22080—2016 / ISO/IEC 27001:2013中翻译为“环境”,这个词本意是“上下文”,或者翻译为“情境”。实际上,“上下文”是意思比较准确和容易理解的。的变化

2019年4月,ISO/IEC JTC 1 / SC 27将其名称“IT security techniques(信息技术 安全技术)”修改为“information security, cybersecurity and privacy protection(信息安全、网络安全与隐私保护)”,这种变化[3]主要是基于安全领域两个主要的趋势。

(1)信息安全向网络安全(cybersecurity)转移。网络安全的全程为网络空间安全(cyberspace security)。虽然诸多文献认为,信息安全和网络安全有交集,也有不同,但是也有很多文献认为,网络安全的范畴更大一些。但有一点是肯定的,网络安全已经成为一个单独的研究热点。

(2)个人信息保护和隐私保护等越来越受到关注。原则上讲,隐私保护是一个单独的领域,与信息系统没有必然的关系。但是,正是因为信息系统和大数据等领域的急速发展,导致隐私泄露变得越来越严重,隐私保护在原来更多是立法问题、道德约束问题,在现在更成为一个技术问题。

随着上述安全环境的变化,ISO/IEC 27002:2022的改版也表现出了明显的变化。虽然ISO/IEC 27002:2022的名称依然是以信息安全为主,但是其中已经加入了网络安全和隐私保护的相关内容。

3 标准框架的变化

诸多文献都表明,ISO/IEC 27002本质是一个“最佳实践2)最佳实践,best practice。一般而言,这个词被重新定义为“良好实践(Good practice)”,如ISO发布了A guide to good practice。但是,在本次改版中,标准原文1 b)又出现了best practice。”或“良好实践”[4-5],与国内网络安全等级保护等其他标准族相比,ISO/IEC 27002的控制集在逻辑关系上是围绕控制目标的,换句话说,ISO/IEC 27002的控制集并不纠缠于管理类的还是技术类的,重点是要实现其预定的目标。这样设计的好处是使整个标准目标清楚,架构清晰;缺点也非常明显,就是控制的落地性不友好。例如,某一个目标的实现,可能需要多项控制,这些控制可能又散落在不同的点,所以需要专门的“适用性声明”来映射标准和组织部署之间的关系。

这样导致的后果是理解上的歧义,某些目标的实现是否可以达到预期?虽然在逻辑上可以通过监视与测量等,但是对于具体的控制而言,其效果大部分都是比较主观或者定性的。延续ISO 9000的一贯逻辑,既然结果难以控制,那就应该加强过程控制。如上述分析,虽然ISO/IEC 27002的目标是统一的、清楚的,但是在实现过程中却是模糊的。将控制实现的自由度限定在一定的范围,是很有必要的。

ISO/IEC 27002:2022对每一项控制新增了“分类”和“属性”两个维度的描述,在增强控制落地指导的同时,实际也限定了控制的选择范围。

ISO/IEC 27002:2022的第5章至第8章,按照分类(category)给出了控制,包括:1)人员控制,指控制涉及个体的人;2)物理控制,这些控制涉及物理实体;3)技术控制,这些控制涉及具体技术;4)组织控制,除上述以外的其他控制。

除此之外,ISO/IEC 27002:2022每一个控制还增加了5项属性,相当于从不同的视角去理解该项控制。这5项属性,分别为:1)控制类型(type),控制类型用以表征控制如何改变与信息安全事件发生相关的风险,具体包括了预防(preventive)、检测(detective)和纠正(corrective);2)信息安全属性,指的是机密性、完整性和可用性;3)网络安全观念,指根据ISO/IEC TS 27110的描述,以网络安全的视角看该项控制属于识别(identity)、保护(protect)、检测(detect)、响应(respond)和恢复(recover)的哪个阶段;4)操作能力,指的是从实践者的视角对该项控制进行分类,包括:治理、资产管理、信息保护、人力资源安全、物理安全、系统与网络安全、应用安全、安全配置、身份与访问管理、威胁与脆弱性管理、应急、供应商关系安全、合规与符合性、信息安全事件管理和信息安全保障;5)安全域,人为地将控制划分为4个域:①治理与生态系统,包括信息系统安全治理与风险管理、生态系统网络安全管理(包括内部和外部利益相关方);②保护,包括IT安全架构、IT安全行政管理(administration)、身份与访问管理、IT安全维护(maintenance)以及物理和环境安全;③防御,包括检测与计算机安全事件管理;④弹性(resilience),包括应急操作和危机管理。

4 具体控制的变化

既然是一个“良好实践”,其具体的控制必然随着认识的深入不停地变化,在前序的版本中,控制集也一直在动态的变化中,具体的统计数据如表1所示。

表1 不同版本的控制统计数据

ISO/IEC 27002:2022的分类有了很大的变化,不再像以前一样,细分安全域,而是直接分成了组织控制、人员控制、物理控制和技术控制四大类。事实上,以前的11个分类和14个分类以其他属性的形式体现其中,例如,操作能力的属性值就很明显。鉴于这个分类的重要性,ISO/IEC 27002:2022附录中对所有控制与ISO/IEC 27002:2013中的控制进行了映射,表2给出了该映射,其中包括了两个版本的章节,以及具体的控制。

表2 不同版本的控制映射关系

续表

续表

续表

猜你喜欢
续表信息安全网络安全
Analysis of hub genes in small-cell lung carcinoma by weighted gene co-expression network※
Landslide displacement prediction based on the Genetic Simulated Annealing algorithm
基于三级等级保护的CBTC信号系统信息安全方案设计
Novel analgesic targets and corresponding analgesic leading compounds
网络安全
计算机网络信息安全及防护策略
上网时如何注意网络安全?
高校信息安全防护
Estimation of the Ballistic Effectiveness of 3,4- and 3,5-Dinitro-1-(trinitromethyl)-1H-Pyrazoles as Oxidizers for Composite Solid Propellants
网络安全监测数据分析——2015年11月