Những thay đổi trong ISO/IEC27002:2022

ISO/IEC 27002 là một tiêu chuẩn quốc tế thuộc bộ tiêu chuẩn ISO/IEC 27000 về lĩnh vực ATTT, đưa ra các biện pháp kiểm soát phù hợp với các tổ chức thuộc nhiều lĩnh vực khác nhau (ISO/IEC 27002 là tiêu chuẩn phổ biến, được quốc tế công nhận về thực hành tốt về bảo mật thông tin. Dòng dõi của nó kéo dài hơn 30 năm với tiền thân của BS 7799). Đến nay đã có gần 18.000 tổ chức trên thế giới được cấp chứng nhận, đáp ứng được các yêu cầu về quy tắc thực hành ATTT theo tiêu chuẩn ISO/IEC 27002:2005. Cạnh đó nhiều nước cũng đã và đang cập nhật tiêu chuẩn quốc gia của mình ứng với tiêu chuẩn quốc tế mới ISO/IEC 27002:2013 nhằm cải thiện hiệu quả khi triển khai quản lý hệ thống ISMS. Tại Việt Nam TCVN ISO/IEC 207002:2020 hoàn toàn tương thích với ISO/IEC 27002:2013 cùng các bản sửa chữa ISO/IEC 27002:2013/Cor.1:2014 và ISO/IEC 27002:2013/Cor.2:2015. (TCVN ISO/IEC 27002:2020 do Viện Cộng nghệ thông tin, Đạo học Quốc gia Hà Nội biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố). Sau tám năm, ISO27002:2013 được cập nhật phiên bản mới 2022.

Phạm vi của tiêu chuẩn

Quản lý an toàn thông tin là một chủ đề rộng lớn với ứng dụng trong tất cả các tổ chức.

Ở tất cả các lớp bảo mật thông tin, ISO/IEC 27002 ứng dụng trong các loại hình tổ chức bao gồm các doanh nghiệp có quy mô nhỏ và vừa đến các tập đoàn khổng lô đa quốc gia, tổ chức phi lợi nhuận, tổ chức từ thiện, cơ quan chính phủ và cơ quan bán phi chính phủ. Trên thực tế là bất kỳ tổ chức nào xử lý và phụ thuộc vào thông tin. Các yêu cầu kiểm soát và rủi ro thông tin cụ thể có thể khác nhau về chi tiết nhưng có rất nhiều điểm chung, như hầu hết các tổ chức cần giải quyết các rủi ro thông tin liên quan đến nhân viên của họ cùng với các nhà thầu, nhà tư vấn và các nhà cung cấp dịch vụ thông tin bên ngoài.

Thay đổi cấu trúc Chương

Các điều khiển mẫu trong ISO27002: 2013 được phân loại thành mười bốn chương: chương 5-18. ISO27002 mới rút gọn điều này xuống chỉ còn bốn chương: năm đến tám. Cũng giống như phiên bản 2013, không phải tất cả các chương đều được tạo như nhau:

  • Chương 5, Kiểm soát tổ chức , chứa 37 kiểm soát
  • Chương 6, Kiểm soát mọi người , chứa 8 kiểm soát
  • Chương 7, Điều khiển vật lý , chứa 14 điều khiển
  • Chương 8, Điều khiển công nghệ , chứa 34 điều khiển

Điều này nâng tổng số lên 93 kiểm soát; giảm gần 20%.

Thuộc tính

Một bổ sung thú vị là sự ra đời của các thuộc tính, được biểu thị bằng thẻ bắt đầu bằng # (#). Các thuộc tính này có thể được sử dụng để nhóm các kiểm soát tương tự lại với nhau, nhưng cũng có thể cung cấp hướng dẫn về nơi đặt trách nhiệm cho các kiểm soát đó trong tổ chức của bạn. ISO đã tạo ra năm loại thuộc tính:

  1. Loại điều khiển: Khi nào thì điều khiển có tác dụng?
  2. Thuộc tính InfoSec: (Các) phần nào của tam giác CIA sẽ được bảo vệ?
  3. Các khái niệm về an ninh mạng: Loại hành động (ISO 27101) nào được thực hiện?
  4. Khả năng hoạt động: Kiểm soát thuộc về (các) chuyên ngành bảo mật nào?
  5. Lĩnh vực bảo mật: Liên quan đến lĩnh vực công tác an toàn thông tin nào?

Mỗi điều khiển đơn lẻ được gắn thẻ với một hoặc nhiều thuộc tính sau cho mỗi danh mục:

Do đó, các thuộc tính không giống như các chương con mô tả trong ISO27001: 2013. Tuy nhiên, chúng có thể phục vụ một mục đích tương tự.

Các điểm thêm mới

Tổng cộng, ISO27002: 2022 có 11 điều khiển mới:

Đối với chúng tôi, tính năng thông minh về mối đe dọa và tính năng che giấu dữ liệu nổi bật nhất. Các chủ đề khác có liên quan khá chặt chẽ với những chủ đề đã có, nhưng việc thu thập và phân tích thông tin về mối đe dọa an ninh và quyền riêng tư theo nguyên tắc thiết kế của mặt nạ dữ liệu là những bổ sung mới thú vị.

Các điểm thay đổi

56 kiểm soát từ năm 2013 đã được hợp nhất thành 24 kiểm soát:

Nhiều chương vốn đã khá giống nhau đã được hợp nhất. Ví dụ: các kiểm soát ISO27002: 2013 của Chính sách về việc sử dụng các kiểm soát mật mã (10.1.1) và Quản lý khóa (10.1.2) hiện chỉ đơn giản là Sử dụng mật mã . Tuy nhiên, một số hợp chất đang chuyển tiếp chương, chẳng hạn như Quản lý thay đổi  từ chương Bảo mật hoạt động (12) với ba kiểm soát thay đổi hệ thống, ứng dụng và phần mềm từ  Mua lại, phát triển và bảo trì hệ thống (14).

Các điểm đã loại bỏ

Chỉ có một điều khiển từ phiên bản 2013 đã bị xóa,  Xóa nội dung . Vì quyền kiểm soát bên trong bên ngoài, An ninh của thiết bị và tài sản bên ngoài cơ sở (11.2.6) đã bao gồm việc bảo vệ tài sản bên ngoài ranh giới tổ chức, chúng tôi nghĩ rằng thay đổi này có ý nghĩa.

ISO27002: 2013 giải thích

Chúng tôi đã viết bốn bài báo về ISO27002: 2013, đưa ra một bản tóm tắt ngắn về tất cả các điều khiển. Sắp tới, chúng tôi sẽ tạo một loạt bài viết cập nhật về ISO27002: 2022. Bạn có thể tìm thấy bốn bài báo hiện tại ở đây:

 

Ngày 12/4/2022

Tin liên quan