ISO/IEC 27001:2022标准初探

ISO/IEC 27001标准与其它ISO标准的一个显著区别在于它有一个“规范性附录”——附录A。附录A中包含了在信息安全管理领域相对全面的具体控制措施，在标准出现之初，一度被各路大神评价为极具指导性的标准，便于实施。但随着安全技术的日新月异，标准中的部分控制措施逐步变为鸡肋一样的存在；另一方面，不同组织对于信息安全的关注点并不相同，当然也不可能借助同样一套控制措施实现卓越管理。

纵观本次27001标准升版，一方面是同步近年来ISO管理体系标准的高阶结构(HLS)的一些调整；另一方面是同步ISO/IEC 27002：2022的内容更新附录A；还有一方面内容是不可忽视的，新版标准在一些措辞上进一步明晰，例如条款6.1.3 c） 注解：

 原描述  附录A包含了控制目标和控制的综合列表

 现描述  附录A包含可能的信息安全控制列表

对标准附录A的选择会形成SOA（适用性声明），反映到27001的认证证书上，此次标准换版的描述变化进一步明确了27001附录A的定位是一个可供参考的“可能的”信息安全控制集。这个思想在2013版的标准中已经有所体现，但在标准的实际应用中并没有获得广泛的理解，此次修订是更进一步的澄清。

在组织的信息安全管理中，依据业务类型的不同，控制措施可以来源于27001标准族的其它标准。例如：专注电信行业有《ISO/IEC 27011 基于ISO/IEC 27002的电信组织信息安全控制实践指南》；专注云服务有《ISO/IEC 27017 基于ISO/IEC 27002的云服务信息安全控制措施实践指南》；专注能源行业有《ISO/IEC 27019 能源行业的信息安全控制》等等。

    控制措施还可以来源于其它信息安全相关标准，甚至是组织自定义的。这些控制与组织信息安全管理的耦合来源于风险评估（标准正文最核心的管理逻辑），来       源于对业务的理解。ISO也推荐在27001的认证证书中可以描述SOA中的控制项来源于某一个具体的信息安全标准。