ISO/IEC 27002:2022已经完成修订并正式发布。ISO/IEC 27002信息安全、网络安全和隐私保护-信息安全控制为组织信息安全标准提供指导，并为信息安全管理提供最佳实践。它考虑了一个企业独特的信息安全风险环境，通过关注组织的选择、实施和管理的安全控制。适用于任何有信息安全及期望通用信息安全控制实现最佳实践的组织。

　　国际领先标准、测试及认证机构BSI建议企业审查其风险评估和必要的控制项，保持企业在信息安全、云安全和数据安全方面的最佳实践，并确保这些实践与新的指导意见相一致。这样一来，企业才能更好地克服未来的风险。另外，本次修订将触发对ISO 27001进行更新，企业需要准备好更新相应的证书。

　　ISO/IEC 27002:2022将如何帮助企业?

　　在建立信息安全管理体系(ISMS)的过程中，确定合适且相称的安全控制;

　　落实信息安全管理的最佳实践;

　　满足与信息安全相关的法律、法规、监管和合同要求;

　　加强风险管理，降低出现信息安全漏洞的可能性;

　　提高公司ISMS的可信度;

　　提高信息安全管理体系(ISMS)的整体稳健性和韧性，加强风险管理;

　　促进实现联合国可持续发展目标中心：目标9 -- 产业、创新和基础设施。

　　BSI 信息安全和隐私保护认证，助力组织全面筑牢安全防线

　　在ICT领域， BSI始终处信息安全标准的前沿，曾经制定了这一领域的世界上首个标准BS 7799，即ISO/IEC 27001信息安全管理体系的前身。BSI从未止步于此，始终致力于解决新出现的问题，例如，隐私、网络和云安全，这是BSI最有能力为企业提供帮助的原因所在。

　　ISO/IEC 27001、ISO/IEC 27701均是由国际标准化组织发布的国际标准，是当前信息安全管理和隐私信息管理领域最权威的国际通用标准，在金融、互联网、人工智能、制造、航空运输等各个行业有众多最佳实践。在过往的几年，BSI与国内多家行业知名企业，诸如华为、荣耀、Vivo、小米主流手机厂商，及阿里巴巴、京东、百度、腾讯等互联网领导企业均保持深度合作。　　

　　BSI 信息、通信与技术产品群及整体解决方案

　　除了提供ICT领域的解决方案以外，作为一家拥有120年历史的全球首家标准机构，BSI同时还提供以国际标准为核心的多样化解决方案。

　　ISO/IEC 27002国际标准延伸知识

　　1. ISO/IEC 27002:2022是全面修订吗?

　　是的，ISO/IEC 27002:2022是对标准的全面修订。ISO/IEC 27002:2022出版后，2013版将废止。

　　2. 修订后的ISO/IEC 27002:2022有哪些变化?

　　修订后的ISO/IEC 27002:2022标准调整了现有控制项的结构，将列举的安全控制项从114个减少至93个，并删除了一些未能反映最佳实践的控制项。在ISO/IEC 27002标准的最新版本中，新增了11个控制项，包括威胁情报、使用云端服务的信息安全以及数据泄露防护等。这样一来，不管网络攻击的性质如何变化，企业都能够持续控制其信息安全。

　　3. ISO/IEC 27002新增了哪些内容?

　　01)ISO/IEC 27002已通过审查，方便企业采用该标准。此外，ISO/IEC 27002仍旧秉持其原有目标，确保不遗漏任何一个重要的控制项。将控制划分为四大类别，分别为：技术控制、组织控制、人员控制和实体控制。

　　02)定义了其他控制属性，例如：控制类型属性：侦测、预防或矫正;网络安全属性：基于NIST网络安全框架的识别、保护、侦测、响应和恢复功能;信息安全属性：机密性、完整性和可用性等。

　　03)可以针对不同的受众，从不同的角度按属性对控制项进行过滤、排序和呈现。

　　对ISO/IEC 27001:2013的影响

　　1. 2022年，是否会因ISO/IEC 27002的修订而对ISO/IEC 27001作出变更?

　　将对ISO/IEC 27001进行部分修订，以更新ISO/IEC 27002:2022(修订版)附件A中的控制项，并将2014年和2015年发布的2份小勘误表纳入其中。

　　2. ISO/IEC 27001修订后会产生什么影响?

　　需要开展过渡评估，并根据客户的范围、地点数量、系统以及每个公司的复杂程度为每一位客户制定计划，以确保控制措施和信息安全管理体系(ISMS)符合最新标准。

　　3. ISO/IEC 27002的修订对正在实施信息安全管理体系(ISMS)或即将获得ISO/IEC 27001认证的公司来说意味着什么?

　　无论公司正在实施ISO 27001标准或准备获得认证，确保客户能利用修订版中提供的指南，最大限度地发挥信息安全管理体系(ISMS)的作用。这一点才是最重要的。可以参考ISO 27002:2022，确定并实施适合公司的控制项。