什么是ISO/IEC27002？

ISO/IEC 27002信息安全、网络安全和隐私保护-信息安全控制为组织信息安全标准提供指导，并为信息安全管理提供最佳实践。它考虑了一个企业独特的信息安全风险环境，通过关注组织的选择、实施和管理的安全控制。适用于任何有信息安全及期望通用信息安全控制实现最佳实践的组织。ISO/IEC 27002:2022是对标准的全面修订。ISO/IEC 27002:2022出版后，2013版将废止。修订后的ISO/IEC 27002:2022标准调整了现有控制项的结构，将列举的安全控制项从114个减少至93个，并删除了一些未能反映最佳实践的控制项。在ISO/IEC 27002标准的最新版本中，新增了11个控制项，包括威胁情报、使用云端服务的信息安全以及数据泄露防护等。这样一来，不管网络攻击的性质如何变化，企业都能够持续控制其信息安全。ISO/IEC 27002已通过审查，方便企业采用该标准。此外，ISO/IEC 27002仍旧秉持其原有目标，确保不遗漏任何一个重要的控制项。将控制划分为四大类别，分别为：技术控制、组织控制、人员控制和实体控制。

定义了其他控制属性，例如：控制类型属性：侦测、预防或矫正；网络安全属性：基于NIST网络安全框架的识别、保护、侦测、响应和恢复功能；信息安全属性：机密性、完整性和可用性等。

可以针对不同的受众，从不同的角度按属性对控制项进行过滤、排序和呈现。全新ISO/IEC 27002:2022现已发布