国际标准化组织(ISO)于2022年10月发布了ISO/IEC 27001:2022《信息安全、网络安全和隐私保护 信息安全管理体系 要求》,该标准代替了ISO/IEC 27001:2013。新版标准条款6.1.3“信息安全风险处置”明确了组织应确定并实施信息安全风险处置过程,并在附录A中给出了信息安全控制项目表,该表中新增加了包括威胁情报等11个控制项。同年发布修订的ISO/IEC 27002:2022标准对ISO/IEC 27001:2022标准中信息安全控制项给出了实施指南。
本文针对新增的11个控制项分别从项目控制要求、控制目的和指南重点三方面进行阐述,旨在为确保组织在实施ISO/IEC 27001:2022标准或准备申请认证和正确使用新版标准过程中提供帮助,以最大限度地发挥信息安全管理体系的作用。
1.威胁情报(5.7)
控制要求:应收集并分析与信息安全威胁相关的信息并编制威胁情报。
控制目的:识别本组织的威胁环境,以便采取适当的缓解措施。
指南重点:收集和分析关于现有或新出现的威胁信息,以便促进对行动的知情,防止威胁对组织造成伤害和降低威胁的影响。从战略、战术和行动三个层面制定威胁情报。威胁情报应该是相关的、有洞察力的、前后衔接的和可操作的。组织可以使用威胁情报来预防、监测或应对企业信息资产面临的安全状况,进行相关的风险管理,也可以将威胁情报与企业已有的安全架构、产品、流程相整合,为高层决策提供建议。
2.使用云服务的信息安全(5.23)
控制要求:根据组织的信息安全要求建立获取、使用、管理和退出云服务的流程。
控制目的:明确和管理云服务使用的信息安全。
指南重点:组织应管理与云服务使用相关的信息安全风险,主要包括云服务的信息安全要求、使用范围、使用和管理相关的角色和职责、管理权限、信息安全保证能力、多个接口和变化、应急事故处理流程、信息安全风险评估方法云服务的退出策略。云服务协议通常是预先定义的,不允许协商。云服务协议应解决组织的保密性、完整性、可用性和信息处理要求,并具有适当的云服务级别和质量目标。
云服务的信息安全在5.10信息和其他相关资产的可接受的使用、5.19 供应商关系中的信息安全、5.21 管理ICT供应链中的信息安全、8.8 技术漏洞的管理、8.9配置管理、8.10 信息删除、8.12 防止数据泄露、8.13 数据备份、8.14 信息处理设备的冗余、8.15 日志和8.28 安全编码部分均有提及,在制定使用云服务安全策略时应综合考虑。
有关云服务的其他信息可以在ISO/IEC 17788、ISO/IEC 17789和ISO/IEC 22123-1中找到。与支持退出策略的云可移植性相关的细节可以在ISO/IEC 19941中找到。ISO/IEC 27017中描述了与信息安全和公共云服务相关的细节。在ISO/IEC 27018中描述了与充当PII处理器的公共云中的PII保护相关的细节。云服务的供应商关系由ISO/IEC 27036—4和云服务协议涵盖,其内容由ISO/IEC 19086系列处理,安全和隐私由ISO/IEC 19086—4专门涵盖。
3.为业务连续性提供信息通信技术(ICT)保障(5.30)
控制要求:应根据业务连续性目标和信息与通信技术连续性要求,对ICT准备就绪情况进行策划、实施、维护和测试。
控制目的:确保组织的信息和其他相关资产在中断期间的可用性。
指南重点:ICT已经广泛进入人类的经济和社会生活,覆盖了所有通信设备或应用软件,比如收音机、电视、移动电话、计算机、网络硬件和软件、卫星系统等,以及与之相关的各种服务和应用软件,例如视频会议和远程教学。ICT连续性要求是业务影响分析(BIA系统)的结果,管理 ICT 连续性是业务连续性要求的一个关键部分,根据ICT服务的BIA和风险评估的结果,组织应确定和选择ICT连续性策略,以满足ICT服务所需的可用性水平。组织应建立适当的组织结构,制定ICT连续性计划,计划需经过评审后批准实施。业务连续性的ICT准备详见 ISO/IEC 27031。业务连续性管理参见ISO 22301和ISO 22313。有关BIA的方法参见 ISO/TS 22317。
4.物理安全监控(7.4)
控制要求:保证对未经授权物理访问的持续监控。
控制目的:检测和阻止未经授权物理访问。
指南重点:应通过监控系统监控实际场景,监控系统包括警卫、入侵警报、类似闭路电视的视频监控系统,以及自我管理或由提供监控服务厂家管理的物理安全信息管理软件。应通过安装闭路电视或探测器持续监控关键系统所在建筑物的出入情况,以检测未经授权的出入员或可疑行为。监控系统的设计应该保密,防止未经授权的人员访问监控信息或远程禁用系统。记录视频应遵循当地法律法规,尤其是关于人员监控和保留期的法律法规。
5.配置管理(8.9)
控制要求:应建立、记录、实施、监控和审查硬件、软件、服务和网络的配置,包括安全配置。
控制目的:确保硬件、软件、服务和网络满足安全设置功能的正确,未经授权或不正确的更改不会更改配置项。
指南重点:配置管理的基本单位是配置项。此处的配置管理重点在于业务方面的配置管理和安全方面的配置管理,二者相辅相成。组织应制定和实施流程和工具,以在硬件、软件、服务(例如云服务)和网络、新安装的系统以及运营系统的生命周期内加强实施已定义的配置(包括安全配置)管理。为确保对所有配置项更改正确,应明确配置的角色、职责和流程。应规定硬件、软件、服务和网络安全配置项的标准模板。当需要应对新威胁或漏洞时,或者当引入新软件或硬件版本时,应定期审查和更新这些模板。配置项更改应遵循技术状态更改管理流程(参见8.32)。应使用一套全面的系统管理工具(例如:维护使用程序、远程支持工具、企业管理工具、备份和恢复工具)来监控配置,并应定期审查配置项,以验证配置设置与所评估活动的一致性。配置信息可以使用系统进行管理,也可以通过文档来进行记录。
组织可以尽可能通过配置管理实现所有信息资产相关的管理。
6.信息删除(8.10)
控制要求:当不再需要时,应删除存储在信息系统、设备或任何其他存储介质中的信息。
控制目的:防止敏感信息的不必要外泄,并遵守法律、法规、监管和合同对信息删除的要求。
指南重点:敏感信息的保留时间应不超过降低不希望泄漏风险所需的时间。删除系统信息、应用程序和服务的信息时,应考虑相关法律法规、选择的删除方法(如电子覆盖或加密擦除)和作为证据的删除结果记录。如果第三方代表组织存储本组织的信息,应考虑在第三方协议中纳入删除信息的要求。在使用云服务的情况下,组织应该验证云服务提供商提供的删除方法是否可接受。应使用7.14中描述的控制措施对存储设备实施物理销毁,同时删除其中包含的信息。云服务中用户数据删除参见 ISO/IEC 27017。删除 PII 的内容参见ISO/IEC 27555。
7.数据脱敏(8.11)
控制要求:应根据组织访问控制和其他相关的专题策略、业务需求和适用的法律,实施数据脱敏。
控制目的:限制包括PII在内的敏感数据的披露,遵守法律法规,满足监管和合同要求。
指南重点:如果需要保护敏感数据(例如PII),组织应考虑使用数据脱敏、假名或匿名等技术来隐藏此类数据;数据脱敏的其他技术包括加密、取消或删除字符,变化数字和日期,用其他数值替代等;使用数据脱敏、假名或匿名的注意事项。有关公共云中PII保护的附加控制参见 ISO/IEC 27018,其他去识别化技术参见ISO/IEC 20889。
8.防止数据泄露(8.12)
控制要求:在系统、网络和任何其他设备上处理、存储或传输敏感信息时,应采取防止数据泄露的措施。
控制目的:检测并防止个人或系统在未经授权情况下公开和提取信息。
指南重点:组织通过对防止泄露信息进行识别和分类,监控数据泄露的渠道和采取防止信息泄露措施来降低数据泄露的风险。使用数据防泄漏的工具,识别和监控面临未授权披露风险的敏感信息,检测敏感信息的泄露,阻止暴露敏感信息的用户操作或网络传输。组织应确定是否有必要限制用户向组织外部的服务、设备和存储介质复制、粘贴或上传数据的能力。访问控制和安全文档管理的防止数据泄漏参见5.12和5.15。
9.监控活动(8.16)
控制要求:应监控网络、系统和应用程序的异常行为,并采取适当的措施来评估潜在的信息安全事件。
控制目的:检测异常行为和潜在的信息安全事件。
指南重点:监控范围和级别应根据业务和信息安全要求确定,并考虑相关法律法规。监控记录应保留规定的保留期限。组织应建立正常性能基线,并根据该基线监控异常情况。监控系统应包括出站和入站网络、系统和应用流量,访问系统、服务器、网络设备、监控系统、关键应用程序等,关键或管理级系统和网络配置文件,安全工具的日志,事件日志,检查正在执行的代码是否被授权在系统中运行以及是否被篡改,资源的使用及其性能。组织应建立正常行为的基线,并根据该基线监控异常情况。建立基线时,应考虑正常和高峰时期的系统利用率、每个用户或用户组的通常访问时间、访问位置、访问频率等因素。可以通过利用威胁情报系统等方式增强安全监控:监控活动通常根据正常、可接受和预期的系统和网络活动的基线进行软件配置。
10.web过滤(8.23)
控制要求:管理对外部网站的访问,以减少恶意内容的影响。
控制目的:保护系统免受恶意软件的侵害,并防止未经授权的网络资源访问。
指南重点:降低其员工访问包含非法信息或已知包含病毒或网络钓鱼材料的网站的风险。实现这一目的的技术是阻止相关网站的IP 地址或域。一些浏览器和反恶意软件技术会自动执行此操作,或者可以配置为执行此操作。组织应确定员工应该或不应该访问的网站类型,阻止恶意网站或共享非法内容的网站的访问。web 过滤可以包括一系列技术,包括签名、启发式、可接受或禁止网站或域列表的配置,以防止恶意软件和其他恶意活动攻击组织的网络和系统。
11.安全编码(8.28)
控制要求:应用安全编码原则开发软件。
控制目的:确保软件编写安全,从而减少软件中潜在的信息安全漏洞的数量。
指南重点:建立全组织范围适用的过程,为安全编码提供良好的管理方法。应建立和应用最低限度的安全基线。此外,这种过程和管理方法应该延伸到第三方的软件组件和开源软件。组织应监控实际威胁以及最新软件漏洞,持续改进安全编码原则。规则和编码前安全编码原则应该用于新的开发和重用场景。这些原则应当适用于组织内部的开发活动以及组织向他人提供的产品和服务。信通技术安全评估的更多信息参见 ISO/IEC 15408系列。
ISO/ IEC 27001:2022标准中新增的11个信息安全控制项是在分析当前“大智物移云”(大数据、智能化、物联网、移动互联网、云计算)等技术发展环境变化基础上,结合当前信息安全的风险态势,识别出来的11个信息安全风险因素。这11个信息安全风险因素并不代表新识别信息安全风险因素的全部,在具体实施时还需按照ISO 31000的要求开展信息安全风险评估和处置,确保风险识别不漏项,风险控制措施有效,残余风险可接受。
来源:《中国认证认可》杂志 2023年第5期