不断升级的威胁、创新技术和更强大的连通性意味着组织、个人和国家必须跟上网络攻击的发展步伐并实施新的保护措施。
网络威胁的演变:
随着工业 4.0 和物联网(IoT),网络威胁变得更加复杂,几乎每天都会发生。这些攻击不仅会影响目标企业,还会影响他们的业务合作伙伴、供应商和客户。
组织、个人和国家必须跟上网络威胁的发展步伐,并实施新的保护措施,以避免数据丢失、诉讼和声誉受损等因素。
定义威胁:
1.信息安全
信息安全,也称为 InfoSec,是指用于保护敏感业务信息免遭修改、中断、破坏和检查的流程和工具。
2.网络安全
网络安全是保护系统、网络和程序免受数字攻击的做法。这些网络攻击通常旨在访问、更改或破坏敏感信息,勒索用户金钱或中断正常业务流程。
3.隐私保护
隐私保护是防止个人信息落入坏人之手,例如黑客。定义因人而异。
ISO/IEC 27001 认证的重要性:
ISO/IEC 27001认证被数以万计的组织采用,证明了组织对信息安全的承诺,并向客户和其他合作伙伴保证其认真保护其控制下的信息。
该标准与技术无关,您拥有何种技术环境并不重要。它的编写方式使得任何组织,从小型企业到价值数十亿美元的大型企业,都可以使用它。
ISO/IEC 27001 规定了建立、实施、维护和持续改进信息安全管理系统 (ISMS)以确保安全的要求。它还包括根据您的需求量身定制的评估和处理信息安全风险的要求。
因为它是一个管理系统标准,它符合其他全球公认的标准,如 ISO/IEC 27701(隐私管理)、ISO/IEC20000-1(IT 服务管理)和 ISO 22301(业务连续性)。
这种一致性使您可以在组织内以小的努力实现其中几个标准的要求,受益于协同效应。
ISO/IEC 27001认证主要好处是什么?
1.增强可信度
2.降低欺诈、信息丢失和披露的风险
3.证明您系统的完整性
4.商业文化转型和对保持信息安全重要性的更高认识
5.与注重安全的客户的新商机
6.在整个工作场所加强保密观念
7.为不可避免的事情做好更好的准备——下一次安全事件或事件
应对威胁的进化:
ISO/IEC 27001 后一次更新是在 2013年,网络世界及其面临的威胁发生了巨大的变化,随着更多创新技术、云运营和在线业务的出现变得越来越复杂。该标准不得不效仿并且具有可塑性以适应更新。
2022 年 2 月 15 日是关键的,ISO/IEC 27002:2022 – 信息安全、网络安全和隐私保护 – 信息安全控制– 已发布。ISO/IEC 27001 附件 A 需要更新以与 ISO/IEC 27002:2022 的控制保持一致。
ISO/IEC 27001:2022的主要变化:
1.标题
名称已更改以反映标准的真实范围。它是 ISO/IEC 27001:2022 – 信息安全、网络安全和隐私保护 –信息安全管理系统 – 要求。这也符合 ISO/IEC 27002:2022 的新标题。
2.条款编号
引入了新的子条款以协调文件的结构与其他管理体系标准,例如 ISO 9001 和 ISO 22301。
两个子条款——10.1 和 10.2——也被互换了。10.1 是持续改进,而 10.2是不合格和纠正措施。他们的要求没有变化。
3.新文本
添加了新的文本并重新排列了一些内容,但这些更改只是阐明了要求,并没有为标准增加新的内容。
4.附件A
附件 A 的标题现在是信息安全控制参考,控制已经过修订以符合 ISO/IEC 27002:2022。在 2013版中,只有控件的描述源自 ISO/IEC 27002。
5.其他变化
对几个条款进行了一些更新。
随着网络威胁的发展,ISO/IEC 27001 是标准。许多原因,包括威胁加剧、技术进步和卓越的连接性(如5G),都可能使您的企业成为网络犯罪分子的目标。
这些变化确实会引发变化,ISO/IEC 27001 的一个关键优势是它能够跟上瞬息万变的网络世界的步伐。2022年的更新使文档和指南更加丰富,并增加了更多责任,但每个控件都有清晰详细的解释。
正如预期的那样,重要的变化是附件 A 的修订,以符合 ISO/IEC 27002:2022 安全控制。
对第 4-10 条的更改是较小的编辑更改,以协调结构与其他管理体系标准。
如果您的组织已经符合 ISO/IEC 27001标准,则无需更改技术,只需更新文档即可。根据新的子条款和修改后的要求,您可能需要修改内部政策。还应审查您的风险评估结果和风险处理计划,并更新适用性声明(SoA)。
过渡期为 ISO/IEC 27001:2022 发布后的三年,您应该有足够的时间来遵守,您的 ISO/IEC 27001证书在此期限结束前一直有效。