ISO/IEC 27002修訂完成

ISO（國際標準化組織）於2022年2月15日對《ISO/IEC 27002:2013》進行改版，並發佈了《ISO/IEC 27002:2022

——資訊安全、網路安全和隱私保護——資訊安全控制》新版標準。所有已建置ISMS資訊安全管理系統的組織，都必須針對組織的需求與環境，根據修訂後的《

ISO/IEC 27002》內容更新其控制措施。

《ISO/IEC 27002》提供了一套通用資訊安全控制措施的參考和實施指引。作為《ISO/IEC 27001》的詳細參考資訊，新版標準可幫助用戶識別和實施最適合其組織需求的資訊安全控制措施，從而加強對資訊方面的保護。

《ISO/IEC 27002:2022》的主要修訂如下：

● 刪除了“最佳實踐”的叫法，改為“資訊安全、網路安全和隱私保護——資訊安全控制”，以更好地反映其作為資訊安全控制措施的目的。

● 將一些不再適合當前環境的控制措施刪除，控制措施數量從114個減少至93個。

● 新增11項安全控制，涵蓋了威脅情報、雲端服務使用的資訊安全和資料外洩預防等方面，以確保組織能夠有能力持續控制自身的資訊安全。

● 2022版提供了對2013版控制標識符號的引用，讓企業組織更方便過渡到最新版本。

簡單來說，新版標準簡化了控制措施架構，從原來的14條款類別，調整為4大類別：組織控制、人員控制、實體控制與技術控制；而整體控制項目亦從114個減至93個，藉此強化資安管控有效性，並將不適合當前環境的內容刪除，當中更新了58個控制項目，並將多個控制項目合併為24個控制項目，同時新增了11個控制項目。

新增項目主要是為應對當前的網路攻擊手法與樣態，控制項目包含了威脅情資、雲端服務使用的資安、通訊技術營運持續整備、實體安全監控、組態管理、資訊刪除、資料遮罩、資料外洩防護、活動檢視、網站過濾與安全程式碼撰寫，以確保組織有能力持續控制自身的資訊安全。

新版同時增加了屬性標籤，包括控制類型（預防、偵測與矯正）、資安特性（機密性、完整性、可用性，CIA）、網絡安全概念（識別、保護、偵測、回應、復原，NIST CSF）、執行能力，以及安全領域，讓企業組織可從不同角度，快速過濾相關控制措施，以及執行排序呈現，令組織更方便找出相關控制要求。

相關資料：https://www.iso.org/stand

ard/75652.html。

如欲購買ISO國際標準，可聯絡澳門生產力暨科技轉移中心標準管理及培訓考試部，電話：2878-1313。