ISO/IEC 27002:2022的改版要点分析

谢宗晓（中国金融认证中心）

甄杰（重庆工商大学）

董坤祥（山东财经大学）

1 标准版本的变化概况

ISO/IEC 27002:2022发布于2022年2月，为第三版，名称为《信息安全、网络安全与隐私保护信息安全控制》（Information security, cybersecurity and privacy protection—Information security controls）。

ISO/IEC 27002的第一版发布于2000年，当时为ISO/IEC 17799:2000，名称为《信息技术 安全技术 信息安全管理实用规则》（Information technology—Security techniques—Code of practice for information security management）。随着ISO/IEC 27001:2005的发布，ISO/IEC 17799:2000改版为ISO/IEC 27002:2005，但内容保持了一致，因此，ISO/IEC 27001:2005和ISO/IEC 27002:2005都是第一版。

ISO/IEC 27002的第二版，发布于2013年，名称为《信息技术 安全技术 信息安全控制实用规则（Information technology—Security techniques—Code of practice for information security controls）。和第一版情况类似，同时发布的还有ISO/IEC 27001:2013[1-2]。

2 整体环境（context）1） 环境，context出现在ISO/IEC 27001:2013中，在GB/T 22080—2016 / ISO/IEC 27001:2013中翻译为“环境”，这个词本意是“上下文”，或者翻译为“情境”。实际上，“上下文”是意思比较准确和容易理解的。的变化

2019年4月，ISO/IEC JTC 1 / SC 27将其名称“IT security techniques（信息技术 安全技术）”修改为“information security, cybersecurity and privacy protection（信息安全、网络安全与隐私保护）”，这种变化[3]主要是基于安全领域两个主要的趋势。

（1）信息安全向网络安全（cybersecurity）转移。网络安全的全程为网络空间安全（cyberspace security）。虽然诸多文献认为，信息安全和网络安全有交集，也有不同，但是也有很多文献认为，网络安全的范畴更大一些。但有一点是肯定的，网络安全已经成为一个单独的研究热点。

（2）个人信息保护和隐私保护等越来越受到关注。原则上讲，隐私保护是一个单独的领域，与信息系统没有必然的关系。但是，正是因为信息系统和大数据等领域的急速发展，导致隐私泄露变得越来越严重，隐私保护在原来更多是立法问题、道德约束问题，在现在更成为一个技术问题。

随着上述安全环境的变化，ISO/IEC 27002:2022的改版也表现出了明显的变化。虽然ISO/IEC 27002:2022的名称依然是以信息安全为主，但是其中已经加入了网络安全和隐私保护的相关内容。

3 标准框架的变化

诸多文献都表明，ISO/IEC 27002本质是一个“最佳实践2）最佳实践，best practice。一般而言，这个词被重新定义为“良好实践（Good practice）”，如ISO发布了A guide to good practice。但是，在本次改版中，标准原文1 b）又出现了best practice。”或“良好实践”[4-5]，与国内网络安全等级保护等其他标准族相比，ISO/IEC 27002的控制集在逻辑关系上是围绕控制目标的，换句话说，ISO/IEC 27002的控制集并不纠缠于管理类的还是技术类的，重点是要实现其预定的目标。这样设计的好处是使整个标准目标清楚，架构清晰；缺点也非常明显，就是控制的落地性不友好。例如，某一个目标的实现，可能需要多项控制，这些控制可能又散落在不同的点，所以需要专门的“适用性声明”来映射标准和组织部署之间的关系。

这样导致的后果是理解上的歧义，某些目标的实现是否可以达到预期？虽然在逻辑上可以通过监视与测量等，但是对于具体的控制而言，其效果大部分都是比较主观或者定性的。延续ISO 9000的一贯逻辑，既然结果难以控制，那就应该加强过程控制。如上述分析，虽然ISO/IEC 27002的目标是统一的、清楚的，但是在实现过程中却是模糊的。将控制实现的自由度限定在一定的范围，是很有必要的。

ISO/IEC 27002:2022对每一项控制新增了“分类”和“属性”两个维度的描述，在增强控制落地指导的同时，实际也限定了控制的选择范围。

ISO/IEC 27002:2022的第5章至第8章，按照分类（category）给出了控制，包括：1）人员控制，指控制涉及个体的人；2）物理控制，这些控制涉及物理实体；3）技术控制，这些控制涉及具体技术；4）组织控制，除上述以外的其他控制。

除此之外，ISO/IEC 27002:2022每一个控制还增加了5项属性，相当于从不同的视角去理解该项控制。这5项属性，分别为：1）控制类型（type），控制类型用以表征控制如何改变与信息安全事件发生相关的风险，具体包括了预防（preventive）、检测（detective）和纠正（corrective）；2）信息安全属性，指的是机密性、完整性和可用性；3）网络安全观念，指根据ISO/IEC TS 27110的描述，以网络安全的视角看该项控制属于识别（identity）、保护（protect）、检测（detect）、响应（respond）和恢复（recover）的哪个阶段；4）操作能力，指的是从实践者的视角对该项控制进行分类，包括：治理、资产管理、信息保护、人力资源安全、物理安全、系统与网络安全、应用安全、安全配置、身份与访问管理、威胁与脆弱性管理、应急、供应商关系安全、合规与符合性、信息安全事件管理和信息安全保障；5）安全域，人为地将控制划分为4个域：①治理与生态系统，包括信息系统安全治理与风险管理、生态系统网络安全管理（包括内部和外部利益相关方）；②保护，包括IT安全架构、IT安全行政管理（administration）、身份与访问管理、IT安全维护（maintenance）以及物理和环境安全；③防御，包括检测与计算机安全事件管理；④弹性（resilience），包括应急操作和危机管理。

4 具体控制的变化

既然是一个“良好实践”，其具体的控制必然随着认识的深入不停地变化，在前序的版本中，控制集也一直在动态的变化中，具体的统计数据如表1所示。

表1 不同版本的控制统计数据

ISO/IEC 27002:2022的分类有了很大的变化，不再像以前一样，细分安全域，而是直接分成了组织控制、人员控制、物理控制和技术控制四大类。事实上，以前的11个分类和14个分类以其他属性的形式体现其中，例如，操作能力的属性值就很明显。鉴于这个分类的重要性，ISO/IEC 27002:2022附录中对所有控制与ISO/IEC 27002:2013中的控制进行了映射，表2给出了该映射，其中包括了两个版本的章节，以及具体的控制。

表2 不同版本的控制映射关系

续表

续表

续表