Những thay đổi trong ISO/IEC27002:2022
ISO/IEC 27002 là một tiêu chuẩn quốc tế thuộc bộ tiêu chuẩn ISO/IEC 27000 về lĩnh vực ATTT, đưa ra các biện pháp kiểm soát phù hợp với các tổ chức thuộc nhiều lĩnh vực khác nhau (ISO/IEC 27002 là tiêu chuẩn phổ biến, được quốc tế công nhận về thực hành tốt về bảo mật thông tin. Dòng dõi của nó kéo dài hơn 30 năm với tiền thân của BS 7799). Đến nay đã có gần 18.000 tổ chức trên thế giới được cấp chứng nhận, đáp ứng được các yêu cầu về quy tắc thực hành ATTT theo tiêu chuẩn ISO/IEC 27002:2005. Cạnh đó nhiều nước cũng đã và đang cập nhật tiêu chuẩn quốc gia của mình ứng với tiêu chuẩn quốc tế mới ISO/IEC 27002:2013 nhằm cải thiện hiệu quả khi triển khai quản lý hệ thống ISMS. Tại Việt Nam TCVN ISO/IEC 207002:2020 hoàn toàn tương thích với ISO/IEC 27002:2013 cùng các bản sửa chữa ISO/IEC 27002:2013/Cor.1:2014 và ISO/IEC 27002:2013/Cor.2:2015. (TCVN ISO/IEC 27002:2020 do Viện Cộng nghệ thông tin, Đạo học Quốc gia Hà Nội biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố). Sau tám năm, ISO27002:2013 được cập nhật phiên bản mới 2022.
Phạm vi của tiêu chuẩn
Quản lý an toàn thông tin là một chủ đề rộng lớn với ứng dụng trong tất cả các tổ chức.
Ở tất cả các lớp bảo mật thông tin, ISO/IEC 27002 ứng dụng trong các loại hình tổ chức bao gồm các doanh nghiệp có quy mô nhỏ và vừa đến các tập đoàn khổng lô đa quốc gia, tổ chức phi lợi nhuận, tổ chức từ thiện, cơ quan chính phủ và cơ quan bán phi chính phủ. Trên thực tế là bất kỳ tổ chức nào xử lý và phụ thuộc vào thông tin. Các yêu cầu kiểm soát và rủi ro thông tin cụ thể có thể khác nhau về chi tiết nhưng có rất nhiều điểm chung, như hầu hết các tổ chức cần giải quyết các rủi ro thông tin liên quan đến nhân viên của họ cùng với các nhà thầu, nhà tư vấn và các nhà cung cấp dịch vụ thông tin bên ngoài.
Thay đổi cấu trúc Chương
Các điều khiển mẫu trong ISO27002: 2013 được phân loại thành mười bốn chương: chương 5-18. ISO27002 mới rút gọn điều này xuống chỉ còn bốn chương: năm đến tám. Cũng giống như phiên bản 2013, không phải tất cả các chương đều được tạo như nhau:
- Chương 5, Kiểm soát tổ chức , chứa 37 kiểm soát
- Chương 6, Kiểm soát mọi người , chứa 8 kiểm soát
- Chương 7, Điều khiển vật lý , chứa 14 điều khiển
- Chương 8, Điều khiển công nghệ , chứa 34 điều khiển
Điều này nâng tổng số lên 93 kiểm soát; giảm gần 20%.
Thuộc tính
Một bổ sung thú vị là sự ra đời của các thuộc tính, được biểu thị bằng thẻ bắt đầu bằng # (#). Các thuộc tính này có thể được sử dụng để nhóm các kiểm soát tương tự lại với nhau, nhưng cũng có thể cung cấp hướng dẫn về nơi đặt trách nhiệm cho các kiểm soát đó trong tổ chức của bạn. ISO đã tạo ra năm loại thuộc tính:
- Loại điều khiển: Khi nào thì điều khiển có tác dụng?
- Thuộc tính InfoSec: (Các) phần nào của tam giác CIA sẽ được bảo vệ?
- Các khái niệm về an ninh mạng: Loại hành động (ISO 27101) nào được thực hiện?
- Khả năng hoạt động: Kiểm soát thuộc về (các) chuyên ngành bảo mật nào?
- Lĩnh vực bảo mật: Liên quan đến lĩnh vực công tác an toàn thông tin nào?
Mỗi điều khiển đơn lẻ được gắn thẻ với một hoặc nhiều thuộc tính sau cho mỗi danh mục:
Do đó, các thuộc tính không giống như các chương con mô tả trong ISO27001: 2013. Tuy nhiên, chúng có thể phục vụ một mục đích tương tự.
Các điểm thêm mới
Tổng cộng, ISO27002: 2022 có 11 điều khiển mới:
Đối với chúng tôi, tính năng thông minh về mối đe dọa và tính năng che giấu dữ liệu nổi bật nhất. Các chủ đề khác có liên quan khá chặt chẽ với những chủ đề đã có, nhưng việc thu thập và phân tích thông tin về mối đe dọa an ninh và quyền riêng tư theo nguyên tắc thiết kế của mặt nạ dữ liệu là những bổ sung mới thú vị.
Các điểm thay đổi
56 kiểm soát từ năm 2013 đã được hợp nhất thành 24 kiểm soát:
Nhiều chương vốn đã khá giống nhau đã được hợp nhất. Ví dụ: các kiểm soát ISO27002: 2013 của Chính sách về việc sử dụng các kiểm soát mật mã (10.1.1) và Quản lý khóa (10.1.2) hiện chỉ đơn giản là Sử dụng mật mã . Tuy nhiên, một số hợp chất đang chuyển tiếp chương, chẳng hạn như Quản lý thay đổi từ chương Bảo mật hoạt động (12) với ba kiểm soát thay đổi hệ thống, ứng dụng và phần mềm từ Mua lại, phát triển và bảo trì hệ thống (14).
Các điểm đã loại bỏ
Chỉ có một điều khiển từ phiên bản 2013 đã bị xóa, Xóa nội dung . Vì quyền kiểm soát bên trong bên ngoài, An ninh của thiết bị và tài sản bên ngoài cơ sở (11.2.6) đã bao gồm việc bảo vệ tài sản bên ngoài ranh giới tổ chức, chúng tôi nghĩ rằng thay đổi này có ý nghĩa.
ISO27002: 2013 giải thích
Chúng tôi đã viết bốn bài báo về ISO27002: 2013, đưa ra một bản tóm tắt ngắn về tất cả các điều khiển. Sắp tới, chúng tôi sẽ tạo một loạt bài viết cập nhật về ISO27002: 2022. Bạn có thể tìm thấy bốn bài báo hiện tại ở đây:
Ngày 12/4/2022
Tin liên quan
- Thông báo tuyển dụng Chuyên gia đánh giá
- Thông báo tuyển dụng Phụ trách nhân sự
- Thông báo Tuyển dụng Thử nghiệm viên Phòng thử nghiệm Hóa dầu
- Họp tham vấn lần thứ nhất cho hoạt động Hỗ trợ Kỹ thuật “Xây dựng bộ tiêu chuẩn quốc gia (TCVN) về Hệ thống Pin lưu trữ năng lượng tại Việt Nam”
- Thông báo Mời tham gia tham vấn: Hoạt động hỗ trợ kỹ thuật “Xây dựng Bộ tiêu chuẩn quốc gia (TCVN) về Hệ thống pin lưu trữ năng lượng Việt Nam”
- Thông báo tuyển dụng Chuyên viên nội dung
- Thông báo về việc thay đổi nhân sự của Viện ISSQ
- Thông báo mời tham gia tham vấn lần thứ nhất Dự án Hỗ trợ Kỹ thuật "Xây dựng Tiêu chuẩn Quốc gia về Điện gió ngoài khơi tại Việt Nam"
- Chứng nhận ISO 9001 lĩnh vực sản xuất thanh hợp kim nhôm
- Những nội dung chính trong tiêu chuẩn ISO 27001
- Nhiệt liệt chào mừng Ngày Khoa học và Công nghệ Việt Nam 18-5 và kỷ niệm 65 năm Ngày thành lập Bộ KH&CN
- Nguyên tắc áp dụng tiêu chuẩn ISO 13485
- Viện Chất lượng ISSQ đào tạo giám định viên
- Dầu nhờn động cơ đốt trong hợp quy theo QCVN 14:2018/BKHCN
- QCVN 08:2020/BCT - Chứng nhận hợp quy Hàm lượng Chì trong Sơn.
- Viện Chất lượng ISSQ tổ chức họp khởi động dự án Hỗ trợ Kỹ thuật “Xây dựng tiêu chuẩn quốc gia hệ thống lưu trữ năng lượng pin (BESS Việt Nam)
- Khóa đào tạo ISO 9001 - Hệ thống Quản lý Chất lượng.
- Khóa Đào tạo nhận thức chung ISO 14001:2015 - Hệ thống quản lý môi trường
- Lợi ích của chứng nhận ISO 29001:2020 - Hệ thống Quản lý Chất lượng chuyên ngành dầu khí
- Chứng nhận ISO 22000 phù hợp với những doanh nghiệp nào?