标准简介
ISO/IEC 27002:2022 是由 国际标准化组织 (ISO) 发布的有效标准,常用于科技、金融银行、医疗健康、政府、服务业等行业,并适用于全球等市场。
本页汇总了 ISO/IEC 27002:2022 的官方文档、当前状态以及常见相关认证或评估机构,便于快速理解要求与落地路径。
实施路线图
定义信息安全控制范围
识别 ISO/IEC 27002:2022 覆盖的产品、服务、场所、系统、团队、司法辖区和相关方。确认责任人、边界、适用义务、文件和证据期望,范围包括组织、人员、物理和技术信息安全控制,包括访问控制、威胁情报、云服务、供应商关系、事件管理和安全开发。
评估差距并排列风险优先级
将当前实践与预期的信息安全控制方法进行比较。审查控制选择、实施指南、属性、适用性声明映射、责任人、监控、指标、例外和风险处置关联,并按法律暴露、安全影响、客户承诺、运营依赖以及审核或市场准入准备度排列差距优先级。
实施控制和记录
部署所需程序、技术控制、评审关口、培训、供应商流程、报告路径和运行记录。维护控制设计、SoA 映射、政策、访问评审、日志、供应商评估、事件记录、安全开发证据、备份测试和控制监控结果作为可追溯证据。
评审、审核并改进
开展内部评审、管理报告、审核、纠正措施和变更评估。当产品、服务、供应商、技术、法规、事件或相关方期望变化时刷新项目。
合规检查清单
checklist 范围与治理
checklist 控制与证据
checklist 监控与改进
常见问题解答
谁需要 ISO/IEC 27002:2022?
expand_more
ISO/IEC 27002:2022 最适用于为 ISMS 或风险处置项目选择和实施安全控制的组织。具体范围取决于产品、服务、司法辖区、客户承诺,以及组织是否需要认证、符合性证据、监管准备或内部治理。
ISO/IEC 27002:2022 是否可认证?
expand_more
ISO/IEC 27002 是指南,通常用于支持 ISO/IEC 27001 认证,而不是单独认证。
实施时应先关注什么?
expand_more
先定义范围和义务,再建立当前状态差距评估。早期最重要的工作是确认责任、受影响资产或过程、风险准则、客户或法律驱动因素,以及组织必须能够提供的证据。
ISO/IEC 27002:2022 需要哪些证据?
expand_more
有用证据包括控制设计、SoA 映射、政策、访问评审、日志、供应商评估、事件记录、安全开发证据、备份测试和控制监控结果。证据应进行版本控制,能够追溯到责任人,并关联风险、义务、控制、决策和纠正措施。
项目应多久评审一次?
expand_more
应按计划周期评审,并在产品、服务、供应商、运行环境、事件、客户承诺或法规变化时评审。高风险领域应采用更频繁的监控和管理报告。