ISO和IEC（国际电工委员会）是为化制定专门体制的国际组织，ISO/IEC27002是一份指导文件，旨在用于实施基于ISO/IEC27001信息安全管理体系(ISMS)时，选择控制项的参考，或作为组织实施普遍接受的信息安全控制项的指南。

目前ISO/IEC 27002:2013版自2018年起由ISO/IECJTC 1/SC27修订，新版本已于2022年2月15日正式发布。ISO/IEC27002信息安全、网络安全和隐私保护-信息安全控制为组织信息安全标准提供指导，并为信息安全管理提供佳实践。它考虑了一个企业独特的信息安全风险环境，通过关注组织的选择、实施和管理的安全控制。适用于任何有信息安全及期望通用信息安全控制实现佳实践的组织。

ISO/IEC 27002:2022是全面修订吗？

是的，ISO/IEC 27002:2022是对标准的全面修订。ISO/IEC 27002:2022出版后，2013版将废止。

修订后的ISO/IEC 27002:2022有哪些调整？

修订后的ISO/IEC27002:2022标准调整了现有控制项的结构，将列举的安全控制项从114个减少至93个，并删除了一些未能反映佳实践的控制项。

在ISO/IEC 27002标准的新版本中，新增了11个控制项，包括威胁情报、使用云端服务的信息安全以及数据泄露防护等。这样一来，不管网络攻击的性质如何变化，企业都能够持续控制其信息安全。

ISO/IEC 27002新增了哪些内容？

01）ISO/IEC 27002已通过审查，方便企业采用该标准。此外，ISO/IEC27002仍旧秉持其原有目标，确保不遗漏任何一个重要的控制项。将控制划分为四大类别，分别为：技术控制、组织控制、人员控制和实体控制。02）定义了其他控制属性，例如：控制类型属性：侦测、预防或矫正；网络安全属性：基于NIST网络安全框架的识别、保护、侦测、响应和恢复功能；信息安全属性：机密性、完整性和可用性等。03）可以针对不同的受众，从不同的角度按属性对控制项进行过滤、排序和呈现。

对ISO/IEC27001:2013的影响

1. 2022年，是否会因ISO/IEC27002的修订而对ISO/IEC27001作出变更？

将对ISO/IEC 27001进行部分修订，以更新ISO/IEC27002:2022（修订版）附件A中的控制项，并将2014年和2015年发布的2份小勘误表纳入其中。

2. ISO/IEC 27001修订后会产生什么影响？

需要开展过渡评估，并根据客户的范围、地点数量、系统以及每个公司的复杂程度为每一位客户制定计划，以确保控制措施和信息安全管理体系（ISMS）符合新标准。

3. ISO/IEC 27002的修订对正在实施信息安全管理体系（ISMS）或即将获得ISO/IEC27001认证的公司来说意味着什么？

无论公司 正在实施ISO 27001标准或准备获得认证，确保客户能利用修订版中提供的指南，大限度地发挥信息安全管理体系（ISMS）的作用。这一点才是重要的。可以 参考ISO27002:2022，确定并实施适合公司 的控制项。

ISO/IEC 27000已不再是2022版的标准参考文件。相反，《ISO/IEC27002:2022》第3条中定义的术语和定义则适用。建议2022版的用户参考这些术语和定义，以方便理解文档中的控制和指南。

建议企业审查其风险评估和必要的控制项，保持企业在信息安全、云安全和数据安全方面的佳实践，并确保这些实践与新的指导意见相一致。这样一来，企业才能更好地克服未来的风险。另外，本次修订将触发对ISO27001进行更新，企业需要准备好更新相应的证书。