新知分享

  • 2021-11-03 新版ISO 27002制定進度步入尾聲
  • 國際資安管理標準ISO 27001/ ISO 27002的上次改版發布,是在201310月前,近年來,ISO國際標準組織已著手推動改版計畫。例如,新版ISO 27002最終草案,已於今年(2021) 823日開始登記,接下來就會進行版本投票,後續則將關注ISO 27001的改版時程。

    簡單來說,ISO 27001:2013是可被實際驗證的國際資安管理標準, 訂定ISMS管理制度面的要求,至於另一套ISO 27002:2013,是完全對應ISO 27001:2013的附錄A,作用在於使兩者保持一致,可針對附錄A的控制要求,給予最佳實踐方式,提供完整且具體的指引參考。

    今年(2021)這項計畫有了明顯的進展。在423日,新版ISO 27002國際標準草案(DIS版)完成投票,到了823日,最終草案版本開始登記。目前可確定的是,新版ISO 27002進度接近尾聲,現將等待進行最終草案版本的投票,而投票啟動後還需要8周,之後將明定為最終草案版本,再進入最後標準發布程序。

    儘管驗證標準ISO 27001的改版時程,在ISO官方網站上仍未有消息,但相關動作仍意謂著,ISO 27001/ISO 27002新版本發布時程,已經離現在不遠。

    關於這次改版的內容,在國際組織ISO官方網站上,已有透露相關資訊。例如,在其公布的ISO 27002草案版本中,從名稱來看,新版ISO 27002就有很大不同。以ISO 27002:2013為例,現行版本的名稱是:「資訊科技—安全技術—資訊安全控制實施準則」,未來,將變成「資訊安全、網路安全及隱私保護—資訊安全控制」。特別的是,「實踐準則」將從標題中刪除,因為,ISO希望27002的存在,能更妥善反映其作為資安控制參考的目的。ISO指出,所欲達成的目的並未改變,都是為了幫助組織做好資安控制,確保組織不會忽視任何必要的控制。而且,這些針對個別控制措施的指引,仍是基於國際公認的資安最佳實踐。

    由於改版還在進行中,後續我們也將持續關注相關變化。

       免責聲明:

    轉載此文是出於傳遞更多訊息為目的,若有來源標註錯誤或侵犯了您的合法權益,請作者持權屬證明與本網聯繫,我們將及時更正、刪除,謝謝。

    https://www.ithome.com.tw/news/147193