Intertek就最新信息安全標(biāo)準(zhǔn)ISO/IEC 27002:2022提出五個(gè)專業(yè)建議
(全球TMT2022年3月16日訊)2022年2月,國(guó)際標(biāo)準(zhǔn)化組織發(fā)布更新發(fā)布了信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)-信息安全控制(ISO/IEC 27002:2022),以作為組織根據(jù)信息安全管理體系認(rèn)證標(biāo)準(zhǔn)定制和實(shí)施信息安全控制措施的指南。
據(jù)此,Intertek專家為企業(yè)提供以下建議:
- 新版ISO/IEC 27002:2022完整覆蓋了信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)方面的控制,適用于任何有信息安全、并期望通用信息安全控制以實(shí)現(xiàn)最佳實(shí)踐的組織。企業(yè)應(yīng)在原有控制措施基礎(chǔ)上,重點(diǎn)加強(qiáng)對(duì)隱私和網(wǎng)絡(luò)安全的關(guān)注。
- 組織可直接依照風(fēng)險(xiǎn)評(píng)估中的風(fēng)險(xiǎn)處置想達(dá)到的效果(即目的)來選擇ISO/IEC 27002:2022基于組織、人員、物理和技術(shù)4個(gè)維度的合適的控制。
- 對(duì)照新版標(biāo)準(zhǔn)的93個(gè)控制,組織可比較當(dāng)前的控制實(shí)現(xiàn)和新版是否一致,可評(píng)估是否需要新的控制或提出修改需要,以使組織自身的信息安全管控水平和能力處于領(lǐng)先地位。
- 依據(jù)控制的5類屬性的不同值,組織可創(chuàng)建滿足不同于場(chǎng)景下的各種業(yè)務(wù)、法律法規(guī)要求和風(fēng)險(xiǎn)處置要求。這種簡(jiǎn)潔的控制結(jié)構(gòu)和控制使用方式,給組織在選擇信息安全控制提供了靈活性和可操作性。
- 新標(biāo)準(zhǔn)的更新變化為新環(huán)境下信息安全管理指明了方向,Intertek 強(qiáng)烈建議立即將新標(biāo)變化納入到組織的信息安全管理過程中,保證未來在該領(lǐng)域的認(rèn)證會(huì)更加有效。