ISO（国际标準化组织）于2022年2月15日对《ISO/IEC 27002:2013》进行改版，并发布了《ISO/IEC 27002:2022

 ——资讯安全、网路安全和隐私保护——资讯安全控制》新版标準。所有已建置ISMS资讯安全管理系统的组织，都必须针对组织的需求与环境，根据修订后的《

 ISO/IEC 27002》内容更新其控制措施。

 《ISO/IEC 27002》提供了一套通用资讯安全控制措施的参考和实施指引。作为《ISO/IEC 27001》的详细参考资讯，新版标準可帮助用户识别和实施最适合其组织需求的资讯安全控制措施，从而加强对资讯方面的保护。

 《ISO/IEC 27002:2022》的主要修订如下：

 ● 删除了“最佳实践”的叫法，改为“资讯安全、网路安全和隐私保护——资讯安全控制”，以更好地反映其作为资讯安全控制措施的目的。

 ● 将一些不再适合当前环境的控制措施删除，控制措施数量从114个减少至93个。

 ● 新增11项安全控制，涵盖了威胁情报、云端服务使用的资讯安全和资料外洩预防等方面，以确保组织能够有能力持续控制自身的资讯安全。

 ● 2022版提供了对2013版控制标识符号的引用，让企业组织更方便过渡到最新版本。

 简单来说，新版标準简化了控制措施架构，从原来的14条款类别，调整为4大类别：组织控制、人员控制、实体控制与技术控制；而整体控制项目亦从114个减至93个，藉此强化资安管控有效性，并将不适合当前环境的内容删除，当中更新了58个控制项目，并将多个控制项目合併为24个控制项目，同时新增了11个控制项目。

 新增项目主要是为应对当前的网路攻击手法与样态，控制项目包含了威胁情资、云端服务使用的资安、通讯技术营运持续整备、实体安全监控、组态管理、资讯删除、资料遮罩、资料外洩防护、活动检视、网站过滤与安全程式码撰写，以确保组织有能力持续控制自身的资讯安全。

 新版同时增加了属性标籤，包括控制类型（预防、侦测与矫正）、资安特性（机密性、完整性、可用性，CIA）、网络安全概念（识别、保护、侦测、回应、复原，NIST CSF）、执行能力，以及安全领域，让企业组织可从不同角度，快速过滤相关控制措施，以及执行排序呈现，令组织更方便找出相关控制要求。

 相关资料：https://www.iso.org/stand

 ard/75652.html。

 如欲购买ISO国际标準，可联络澳门生产力暨科技转移中心标準管理及培训考试部，电话：2878-1313。