1.2022版ISO 27002的变化
(1)标准名称的变化ISO 27001和ISO 27002的官方标准名称已更新为ISO/IEC27001:2022《信息安全、网络安全和隐私保护 信息安全管理体系 要求》以及ISO/IEC27002:2022《信息安全、网络安全和隐私保护 信息安全控制》。这表示新标准从原本的“信息技术安全技术”扩展到了“信息安全、网络安全和隐私保护”。这个变化反映了新标准的目标是紧跟现代信息技术和信息安全的发展潮流,以便在不断进步的环境中保持ling先地位和实用性。
(2)标准内容的变化ISO 27002:2022标准是在ISO27002:2013的基础上进行了改进和优化。新版标准对原有的14个控制领域以及114个控制项进行了细致的审查,并进行了合并、剔除和引入新的控制项。Zui新的ISO/IEC27002:2022标准明确列出了93个控制项,涵盖了4个主题和15个安全运营能力域。这些改动使得新版标准更加针对性和实用性,更能够满足现代信息安全管理的需求。15个安全运营能力域运营能力是从组织的信息安全能力角度来看待控制的一个属性。新标准ISO27002:2022的15个安全运营能力域相较于旧版本的14个控制域有几个明显的变化。新增了“信息保护”、“安全配置”和“威胁和漏洞管理”领域;同时,部分领域的名称也有了变化,如将“信息系统获取、开发和维护”改为“应用安全”,将“通信安全”改为“系统和网络安全”。