2022年2月，国际标准化组织发布更新，发布信息安全、网络安全和隐私保护-信息安全控制（ISO/IEC 27002:2022)作为组织根据信息安全管理体系认证标准定制和实施信息安全控制措施的指南。

新标准的更新为新环境下的网络安全、数据安全管理和管理提供了先进的思路和参考框架。为了尽快将新标准的变化纳入数据安全管理咨询服务知识库，安全咨询部组织专家进行翻译整理，现发布，允许在保持文件原貌的前提下进行交流和共享。

本次试译交流版主要翻译人员为安全咨询部高级安全顾问汤季洪(CISSP /CISP /CCSP /CCSI /CEH /RHCA /RHCE /MCSE /MCDBA /VCP)，并得到了盘茜(CISSP /CISP)女士的大力支持。

由于译者水平有限，错误或不当是不可避免的，请参考英文原版，请批评和纠正。可联系汤季洪 [13372520776(微信同号)或tangjihong@secsmart.com] 。

闪捷信息技术有限公司安全咨询部
2022年3月18日

ISO(国际标准化组织)和IEC(国际电工委员会)构成了全球标准化的专项体系。ISO或IEC成员的国家机构参与制定各自组织的技术委员会的国际标准，以处理特定领域的技术活动。ISO和IEC技术委员会在共同感兴趣的领域合作。ISO和IEC其他保持联系的政府和非政府国际组织也参与了这项工作。

ISO/IEC指令第一部分描述了编制文件的程序和进一步维护文件的程序。特别是，应注意不同类型的文件需要不同的审批标准。本文件是基于ISO/IEC起草指令第二部分的编辑规则(见www.iso.org/directives或者www.iec.ch/members_experts/refdocs ）。

请注意，本文件中的某些内容可能是专利权的主题。ISO和IEC不负责识别任何或所有此类专利权。在文档开发过程中确定的任何专利权的详细信息将在介绍和/或收到ISO列出专利声明列表(见参见)www.iso.org/patents）或收到的IEC专利声明清单(见patents.iec.ch）。

本文件中使用的任何商品名称都是为方便用户而提供的信息，不构成认可。

解释相关标准的自愿性质，并与合格评估有关ISO具体术语和表达的含义，以及相关术语ISO遵守《技术性贸易壁垒（TBT）遵守世界贸易组织（WTO）请参阅原则信息www.iso.org/iso/foreword.html。IEC请参见相关信息www.iec.ch/understanding-standards。

本文件适用于各种类型和规模的组织。它将以此为基础ISO/IEC 27001信息安全管理系统（ISMS）确定和实施信息安全风险处理控制的参考。也可作为组织确定和实施普遍接受的信息安全控制措施的指导文件。此外，考虑到具体的信息安全风险环境，本文件旨在制定行业和组织的具体信息安全管理标准。本文件中未包含的组织或环境的具体控制措施可根据需要通过风险评估确定。

各类组织（包括公共和私营部门、商业和非营利组织）以电子、物理和口头形式（如对话和演示）创建、收集、处理、存储、传输和处置信息。

信息的价值超过了文本、数字和图像：知识、概念、想法和品牌是无形的信息形式。在一个相互关联的世界里，无论这些风险来源是自然的、意外的还是故意的，信息和其他相关资产都值得或需要保护各种风险来源。

信息安全是通过实施适当的控制措施来实现的，包括战略、规则、流程、程序、组织结构、软件和硬件功能。必要时，组织应定义、实施、监控、审查和改进这些控制措施，以满足其具体的安全和业务目标。ISO/IEC 27001中规定的ISMS对组织的信息安全风险采取全面协调的观点，在一致的管理系统的整体框架内确定和实施一套全面的信息安全控制。

许多信息系统，包括它们的管理和操作，都没有遵循ISO/IEC 27001及本文件规定ISMS设计安全。仅通过技术措施实现的安全水平有限，应得到适当管理活动和组织流程的支持。在处理风险时，应仔细规划和注意哪些控制措施应该到位。

成功的ISMS需要组织中所有人员的支持。也可能需要股东或供应商等其他相关方的参与。也可能需要相关领域专家的建议。

一个适当、充分、有效的信息安全管理体系为组织的管理层和其他相关方提供保障，确保其信息和其他相关资产得到合理保护，避免威胁和伤害，使组织能够实现既定的业务目标。

该组织必须确定其信息安全要求。信息安全要求有三个主要来源：

a）考虑到组织的总体业务战略和目标，对组织面临的风险进行评估。这可以通过特定于信息安全的风险评估来促进或支持。这应导致确定必要的控制措施，以确保本组织的剩余风险符合其风险接受标准；

b） 组织及其相关方(贸易伙伴、服务提供商等)必须遵守的法律、法规、规章和合同要求，以及其社会文化环境；

c）一系列的原则、目标和业务要求周期的一系列原则、目标和业务要求。

控制被定义为改变或保持风险的措施。本文件中的一些控制措施是改变风险的控制措施，而其他控制措施则保持风险。例如，信息安全策略只能保持风险，而遵守信息安全策略可以改变风险。此外，一些控制措施在不同的风险背景下也是如此。本文提供了组织、人员、物理和技术信息安全控制的一般组合，从国际公认的最佳实践中总结出来。

确定控制取决于组织在风险评估后做出的决定，并具有明确的定义范围。与识别风险相关的决定应基于组织采用的风险接受标准、风险处理方案和风险管理方法。控制措施的确定还应考虑所有相关国家和国际法律法规。控制措施的确定也取决于控制措施的相互作用，以提供深度防御。

组织可以根据需要设计控制或识别任何来源。在指定此类控制措施时，组织应考虑实施和运行控制措施所需的资源和投资。ISO/IEC 27016，了解相关信息ISMS在竞争资源需求的背景下，投资决策的指导和经济后果。

为实施控制措施而部署的资源应与没有这些控制的安全事故可能产生的业务影响之间寻求平衡。风险评估的结果应有助于指导和确定适当的管理措施、管理信息安全风险的优先级和预防这些风险所需的控制措施。

本文件中的一些控制措施可视为信息安全管理的指导原则，适用于大多数组织。有关确定控制和其他风险处理选项的更多信息，请参见ISO/IEC 27005。

本文件可以被视为制定组织个性化指南的起点。并非本文件中的所有控制和指导都适用于所有组织。本文件中未包含的其他控制措施和指南也可能需要满足组织的具体需要和已识别的风险。当制定的文件包含额外的指南或控制措施时，将有助于将来参考。

从创建到处从创建到处理的生命周期。在整个生命周期中，信息的价值和风险可能会有所不同（例如，未经授权披露或窃取公司的财务账户并不严重，但完整性仍然至关重要）。因此，在所有阶段，信息安全在一定程度上都非常重要。

与信息安全相关的信息系统和其他资产都有生命周期。在这些生命周期中，它们被构思、规定、设计、开发、测试、实施、使用和维护，最终退休和处置。信息安全应在每个阶段考虑。考虑到组织的风险和事故中吸取的教训，新的系统开发项目为改变现有系统提供了改进安全控制的机会。

本文件提供了各种信息安全控制指南，广泛应用于不同组织，ISO/IEC 27000系列中的其他文件提供了关于信息安全管理整其他方面提供了补充建议或要求。

有关ISMS和文件系列的一般介绍，请参考ISO/IEC 27000。ISO/IEC 27000提供了定义的词汇表ISO/IEC 27000文件系列中使用的大部分术语描述了该系列每个成员的范围和目标。

还有一些针对特定行业的标准，包括针对特定领域的标准的额外控制措施（例如，针对云服务的ISO/IEC 27017标准、针对隐私的ISO/IEC 27701标准、针对能源的ISO/IEC 27019标准、针对电信组织的ISO/IEC 27011标准以及针对健康的ISO 27799标准）。此类标准包含在参考书目中，其中一些参考了第5-8条中的指南和其他信息部分。

本文件提供了一套通用的信息安全控制参考，包括实施指南。旨在供组织用来：

  a）在基于ISO/IEC 27001的信息安全管理体系（ISMS）的范围内；

  b）根据国际公认的最佳实践实施信息安全控制；

  c）制定特定于组织的信息安全管理准则。

本文件中没有规范性引用文件。

就本文件而言，以下术语和定义适用。

ISO和IEC在以下地址维护用于标准化的术语数据库：

  — ISO在线浏览平台：https://www.iso.org/obp

  — IEC电子词典：https://www.electropedia.org/

确保基于业务和信息安全要求授权和限制对资产（3.1.2）的物理和逻辑访问的方法。

任何对组织有价值的事物。

条目注释1：在信息安全环境中，可以区分两种资产：
  — 主要资产：
      — 信息；
      — 业务流程（3.1.27）和活动；
  — 所有类型的支持资产（主要资产所依赖的），例如：
      — 硬件；
      — 软件；
      — 网络；
      — 工作人员（3.1.20）；
      — 站点；
      — 组织结构。

未授权的破坏、更改、禁用、访问资产（3.1.2）的成功或不成功的尝试，或任何试图暴露、窃取或未经授权使用资产（3.1.2）的行为。

保证实体（3.1.11）声称的特征属性是正确的。

一个实体（3.1.11）是它所声称的那样的属性。

从一个时间点到另一个时间点，材料的可证明的持有、移动、处理和定位

条目注释1：在ISO/IEC 27002环境下，材料包括信息和其他相关资产（3.1.2）。
[资料来源：ISO/IEC 27050-1：2019，3.1，另含修订——添加“条目注释1”]

不打算对未经授权的个人、实体（3.1.11）或过程（3.1.27）可用或向其披露的信息。

保持和/或改变风险的措施

条目注释1：控制包括但不限于任何过程（3.1.27）、策略（3.1.24）、设备、实践或其他保持和/或改变风险的条件和/或行动。
条目注释2：控制可能并不总是产生预期或假定的改变效果。
[资料来源：ISO 31000：2018，3.8]

一种事故，无论是预期的还是未预期的，都会导致产品和服务的预期交付相对于组织的目标发生计划外的负面偏离。

[资料来源：ISO 22301：2019，3.10]

联网的信通技术（ICT）硬件设备。

条目注释1：端点设备可以指台式计算机、笔记本电脑、智能手机、平板电脑、瘦客户机、打印机或其他专用硬件，包括智能电表和物联网（IoT）设备。

与具有可识别的独特存在的领域的运营目的相关的项目。

条目注释1：一个实体应有一个物理或逻辑的具象化实例。
例如个人、组织、设备、一组像这样罗列的事物、电信服务的个人订户、SIM卡、护照、网络接口卡、软件应用、服务或网站等。
[资料来源：国际标准化组织/IEC 24760-1：2019，3.1.1]

任何信息处理系统、服务或基础设施，或容纳信息的物理位置。

[资料来源：ISO/IEC 27000：2018，3.27，修改——“设施facilities”替换为“设施facility”。]

危及信息安全，导致传输、存储或以其他方式处理的受保护信息遭到意外破坏、丢失、篡改、泄露或访问。

表明可能发生信息安全的破坏（3.1.13）或控制失败（3.1.8）的事件

[资料来源：ISO/IEC 27035-1：2016，3.3，修改——“信息安全的违背breach of information security”替换为“信息安全的违背information security breach”]

一个或多个相关且已确定的信息安全事件（3.1.14）,可能会损害组织的资产（3.1.2）或干扰其运营

[资料来源：ISO/IEC 27035-1：2016，3.4]

采用一贯的、有效的方法处理信息安全事故（3.1.15）

[资料来源：ISO/IEC 27035-1：2016，3.5]

一组应用程序、服务、信息技术资产（3.1.2）或其他信息处理部件。

[资料来源：国际标准化组织/IEC 27000：2018，3.35]

能够影响决策或活动、被决策或活动影响或认为自己受决策或活动影响的个人或组织。

[资料来源：国际标准化组织/IEC 27000：2018，3.37]

证明声称的事件或行动及其发起实体发生的能力（3.1.11）

在组织的指导下工作的人员

条目注释1：工作人员的概念包括组织的成员，如理事机构、最高管理层、雇员、临时工作人员、承包商和志愿者。

（a）可用于在信息和与信息相关的自然人之间建立联系的任何信息，或（b）直接或间接与自然人相关联的任何信息。

条目注释1：定义中的“自然人”是指PII主体（3.1.22）。要确定PII主体是否可识别，应考虑持有数据的隐私利益相关方或任何其他方可以合理使用的所有方法，以建立PII集和自然人之间的联系。
[资料来源：ISO/IEC 29100：2011/Amd.1：2018，2.9]

与PII个人可识别信息（3.1.21）相关的自然人。

条目注释1：根据司法管辖区和特定的数据保护和隐私立法，也可以使用同义词“数据主体”代替术语“PII主体”。
[资料来源：国际标准化组织/IEC 29100：2011，2.11]

代表PII控制者并根据其指示处理PII个人可识别信息（3.1.21）的隐私利益相关方。

[资料来源：国际标准化组织/IEC 29100：2011，2.12]

由最高管理者正式表达的组织的意图和方向

[资料来源：ISO/IEC 27000：2018，3.53]

识别、分析、评估、咨询、沟通和规划处理PII个人可识别信息（3.1.21）的潜在隐私影响的整体流程（3.1.27），在组织更广泛的风险管理框架内制定

[资料来源：ISO/IEC 29134：2017，3.7，修改——删除条目注释1。]

开展活动或过程（3.1.27）的特定方式。

[资料来源：ISO 30000：2009，3.12]

使用或转换输入以交付结果的一组相互关联或相互作用的活动

[资料来源：ISO 9000：2015，3.4.1，修改——删除条目注释]。

组织或个人在履行法律义务或业务交易中，被作为证据、同时也作为资产创建、接收和维护的信息（3.1.2）

条目注释1：此处的法律义务包括所有法律、法规、监管和合同要求。
[资料来源：ISO 15489-1：2016，3.14，修改——添加“条目注释1”。]

发生中断（3.1.9）后数据将要恢复到的时间点。

[资料来源：ISO/IEC 27031：2011，3.12，修改——“必须must”替换为“将要are to be”。]

发生中断（3.1.9）后，服务和/或产品以及支持系统、应用程序或功能恢复到最低水平所历经的时长。

[资料来源：ISO/IEC 27031：2011，3.13，修改——“必须must”替换为“将要are to be”。]

与预期行为和结果一致的特性。

被接受的原则或指示，说明组织要求做什么、允许什么或不允许什么。

条目注释1：规则可以在专题策略（3.1.35）和其他类型的文件中正式表述。

由于对个人、组织、国家安全或公共安全的潜在不利影响，需要防止其不可用、未经授权的访问、修改或公开披露的信息。

可能对系统或组织造成损害的意外事故的潜在原因

[来源：ISO/IEC 27000：2018，3.74]

由适当层级的管理者正式表达的，关于特定对象或主题的意图和方向。

条目注释1：专题策略可以正式表达规则（3.1.32）或组织标准。
条目注释2：一些组织对这些专题策略使用其他术语。
条目注释3：本文档中提及的专题策略与信息安全相关。关于访问控制的专题策略示例（3.1.1），关于桌面清晰和屏幕清晰的专题策略。

有权访问组织信息系统（3.1.17）的相关方（3.1.18）。

比如工作人员（3.1.20）、客户、供应商。

用户用来访问信息处理服务的终端设备（3.1.10）。

条目注释1：用户终端设备可以指台式计算机、膝上型计算机、智能电话、平板电脑、瘦客户机等。

可能被一个或多个威胁（3.1.34）利用的资产（3.1.2）或控制（3.1.8）的弱点

[资料来源：国际标准化组织/IEC 27000：2018，3.77]

ABAC

attribute-based access control

基于属性的访问控制

ACL

access control list

访问控制列表

BIA

business impact analysis

业务影响分析

BYOD

bring your own device

自带设备办公

CAPTCHA

completely automated public Turing test to tell computers and humans apart

全自动公共图灵测试，区分计算机和人类

CPU

central processing unit

中央处理单元

DAC

discretionary access control

自主访问控制

DNS

domain name system

域名系统

GPS

global positioning system

全球定位系统

IAM

identity and access management

身份与访问管理

ICT

information and communication technology

信息与通讯技术

ID

Identifier

标识符

IDE

integrated development environment

集成开发环境

IDS

intrusion detection system

入侵检测系统

IoT

internet of things

物联网

IP

internet protocol

互联网协议

IPS

intrusion prevention system

入侵防御系统

IT

information technology

信息技术

ISMS

information security management system

信息安全管理体系

MAC

mandatory access control

强制访问控制

NTP

network time protocol

网络时间协议

PIA

privacy impact assessment

隐私影响分析

PII

personally identifiable information

个人可识别信息

PIN

personal identification number

个人识别码

PKI

public key infrastructure

公钥基础设施

PTP

precision time protocol

精密时钟协议

RBAC

role-based access control

基于角色的访问控制

RPO

recovery point objective

恢复点目标

RTO

recovery time objective

恢复时间目标

SAST

static application security testing

静态应用程序安全测试

SD

secure digital

安全数字

SDN

software-defined networking

软件定义网络

SD-WAN

software-defined wide area networking

软件定义广域网

SIEM

security information and event management

安全信息与事件管理

SMS

short message service

短消息服务

SQL

structured query language

结构化查询语言

SSO

single sign on

单点登录

SWID

software identification

软件识别

UEBA

user and entity behaviour analytics

用户和实体行为分析

UPS

uninterruptible power supply

本文件基于如下结构：

  a）组织控制（第5章）

  b）人员控制（第6章）

  c）物理控制（第7章）

  d）技术控制（第8章）

并包含两个附录：

  附录A ——使用属性

  附录B ——与ISO/IEC 27002：2013的对应关系

附录A 解释了组织如何使用属性（参见4.2），根据本文件中定义的控制属性或自己创建的控制属性创建自己的视图。

附录B 显示了本版ISO/IEC 27002与之前的2013版之间的对应关系​。

第5章至第8章中给出的控制分类被称为主题。控制分为以下几类：

  a） 人，如果涉及个人；

  b）物理的，如果涉及物理对象；

  c）技术，如果涉及技术；

  d）否则，被归类为组织。

组织可以使用属性来创建不同的视图，这些视图是从主题的不同角度对控制的不同分类。属性可用于在不同的视图中为不同的受众筛选、排序或呈现控制。附录A解释了如何实现这一点，并提供了一个视图示例。

举例来说，本文件中的每个控制都与具有相应属性值的五个属性相关联（以“#”开头以使其可搜索），如下所示：

  a）控制类型

    控制类型是一种属性，用于从是何时以及如何改变风险的角度来认识控制，这些风险与信息安全事件的发生相关。

    属性值包括

    预防性：旨在防止信息安全事件发生的控制措施；

    检测性：信息安全事件发生时起作用的控制措施；

    纠正性：信息安全事件发生后起作用的控制措施。

  b）信息安全特性

    信息安全特性是用于从有助于保护信息的哪一项品质的角度来认识控制的一种属性。

    属性值由机密性、完整性和可用性组成。

  c）网络安全概念

    网络安全概念是用于从与ISO/IEC 27110所描述的网络安全框架中定义的网络安全概念的关联的角度来认识控制的属性。

    属性值包括识别、保护、检测、响应和恢复。

  d）运营能力

    运营能力是从业者从信息安全能力的角度来认识控制的属性。属性值共15个，包括治理、资产管理、信息保护、人力资源安全、物理安全、系统和网络安全、应用安全、安全配置、身份和访问管理、威胁和漏洞管理、连续性、供应商关系安全、法律与合规性、信息安全事件管理和信息安全保证。

  e）安全域

    安全域属性从四个信息安全域角度来认识控制，属性值包括治理与生态系统、保护、防御和韧性。

    治理与生态系统 包括“信息系统安全治理&风险管理”和“生态系统网络安全管理”（包括内部和外部利益相关者）；

    保护 包括“IT安全架构”、“IT安全管理”、“身份和访问管理”、“IT安全维护”和“物理和环境安全”；

     防御 包括“检测”和“计算机安全事件管理”；

     韧性 包括“业务连续性”和“危机管理”。

选择本文件中给出的属性是因为它们被认为是通用的，足以供不同类型的组织使用。组织可以选择忽略本文件中给出的一个或多个属性。他们还可以创建自己的属性（带有相应的属性值）来创建自己的组织视图。附件A.2包括了这些属性的例子。

以下章节对每个控制的描述使用如下布局结构：

  抬头： 控制的简称；

  属性表： 显示给定控制的每个属性的值的表；

  控制： 控制是什么；

  目的： 为什么要实施控制；

  指南： 应该如何实施控制；

  其他信息： 说明性文本或对其他相关文档的引用。

另外，由于某些控制的指南很长且涉及多个主题，文本中会使用副标题以提高可读性。此类标题不一定在所有指南文本中使用。副标题加了下划线。

控制

应定义信息安全策略和专题策略，由管理层批准，发布，传达给相关人员和利益相关方并得到他们的认可，并在计划的时间间隔和发生重大变化时进行审查。

目的

根据业务、法律、法规、监管和合同要求，确保管理方向和信息安全支持的�