新版ISO 27002：2022

okmijn775

建立於 2026年03月10日

ISO/IEC 27002 之調整 新版ISO/IEC 27002簡化控制措施架構，控制措施從目前的 114 個減少到 93 個控制措施。 ISO/IEC 27002：2013 包含 114 項控制措施，分為 14 類。 ISO/IEC 27002：2022 "實作指引"，包含 93 項控制，分為 4 類： 5. 組織控制Organizational Controls 5.1-5.37 6. 人員控制People Controls 6.1-6.8 7. 實體環境控制Physical Controls 7.1-7.14 8. 技術控制Technological Controls 8.1-8.34 被刪除的控制措施共16個，另外將類似的控制措施整合在一起，成為一個主要措施： 5.9 資訊及其他相關聯資產之清冊、5.10 可接受使用資訊或其他相關聯資產：整合A.8.1.1, A.8.1.3 5.14 資訊傳送：整合A.13.2.1, A.13.2.2, A.10.1.1, A.10.1.2, A.18.1.5 8.15 存錄、8.16 監視活動：整合A.12.4.1, A.12.4.3 8.24 密碼技術之使用：整合 A.10.1.2, A.18.1.5 此外，新增的控制措施如下： 編號 5.7 項目名稱 威脅情資 控制措施 應收集及分析與資訊安全威脅相關的資訊，以產出威脅情資。 編號 5.23 項目名稱 使用雲端服務之資訊安全 控制措施 應根據組織的資訊安全要求建立獲取、使用、管理和退出雲端服務的流程。 編號 5.30 項目名稱 資通訊技術營運持續整備 控制措施 應根據營運持續目標和 ICT 持續性要求來規劃、實施、維護和測試 ICT 整備情況。 編號 7.4 項目名稱 實體安全監視 控制措施 應持續監控場域周界以防止未經授權的實體存取。 編號 8.9 項目名稱 組態管理 控制措施 應建立、文件化、實作、監視和審查硬體、軟體、服務和網路的組態，包括安全組態。 編號 8.10 資項目名稱 訊刪除 控制措施 當不再需要時，應刪除儲存於資訊系統、裝置或任何其它儲存媒體中的資訊。 編號 8.11 資項目名稱 資料遮蔽 控制措施 應根據組織關於 存取控制與其它 相關的特定主題 政策以及營運要求使用資料遮蔽，並將法律要求納入考量。 編號 8.12 資項目名稱 資項目名稱預防資料洩漏 控制措施 資料洩漏的預防措施應應用於處理、儲存或傳輸敏感資訊的系統、網路及任何其它裝置。 編號 8.16 資項目名稱 監視活動 控制措施 應監視網路、系統和應用程序的異常行為並 採取適當的措施來評估潛在的資訊安全事故。 編號 8.22 資項目名稱 網頁過濾 控制措施 應管理對外部 網站的存取，以減少曝露於惡意的內容。 編號 8.28 資項目名稱 安全程式設計 控制措施 軟體開發應採用安全編碼原則。 ISO/IEC 27002 變更要點 總結新版ISO/IEC 27002變更要點： 1.更新的控制項目和建議：新版本針對現代資訊安全威脅和技術趨勢，對控制項目進行了更新和擴展，並提供了更多的建議和最佳實踐。 2.對新興技術的考慮：ISO/IEC 27002:2022考慮了新興技術（如雲端、物聯網、人工智慧等）對資訊安全的影響，並提供了相應的措施和建議以應對這些新挑戰。 3.更強調風險導向：新版本更加強調風險導向的方法，強調了對資訊安全風險的評估和處理，在控制的選擇和實施上更具有彈性。 4.強調持續改進：ISO 27002:2022強調了持續改進的重要性，鼓勵組織不斷地審查和改進其資訊安全措施，以應對不斷變化的威脅和需求。