信息安全管理体系ISO_IEC 27002_2022中文版.pdf

ISO/IEC 27002:2022 信息安全，网络安全与隐私保护 ——信息安全控制 试译交流版 汤季洪@闪捷信息 译 日期 更新日志 2022 年3 月18 日 v0.1 2022 年4 月30 日 v0.2 ，修正少量文字错误和前后不一的用词； 2022 年5 月09 日 v0.3 ，修正少量排版错误，修正部分措辞； 说明 2022 年2 月，国际标准化组织发布更新发布了信息安全、网络安全和隐私保护— —信息安全控制（ISO/IEC 27002:2022），以作为组织根据信息安全管理体系认证标 准定制和实施信息安全控制措施的指南。 新标准的更新变化为新环境下的网络安全、数据安全治理和管理提供了先进的思路 和参考框架，为尽快将新标纳入我司数据安全治理咨询服务知识库，安全咨询事业部组 织专家力量进行了翻译整理。 本文件主要翻译人员为安全咨询事业部高级安全顾问汤季洪(CISSP /CISP /CCSP / CCSI /CEH /RHCA /RHCE /MCSE /MCDBA /VCP) ，并得到了盘茜(CISSP /CISP)女士 的大力支持。 由于译者水平有限，错误或不当之处在所难免，请参照英文原版以准，并请拨冗批 评指正。可联系汤季微信)或tangjihong@ 。 闪捷信息科技有限公司•安全咨询事业部 2022 年3 月18 日 序 ISO （国际标准化组织）和IEC （国际电工委员会）构成了全球标准化的专门体 系。作为ISO 或IEC 成员的国家机构通过各自组织建立的技术委员会参与国际标准的 制定，以处理特定领域的技术活动。ISO 和IEC 技术委员会在共同感兴趣的领域进行合 作。与ISO 和IEC 保持联系的其他政府和非政府国际组织也参与此项工作。 ISO/IEC 指令第1 部分描述了用于编制本文件的程序以及旨在进一步维护本文件的 程序。特别是，应注意不同类型的文件需要不同的审批标准。本文件根据ISO/IEC 指令 第2 部分的编辑规则起草（参见/directives 或www.iec.ch/members_expe rts/refdocs ）。 请注意，本文件中的某些内容可能是专利权的主题。ISO 和IEC 不负责识别任何或 所有此类专利权。在文档开发过程中确定的任何专利权的详细信息将在引言和/ 或收到 的ISO 专利声明列表中列出（参见/patents）或收到的IEC 专利声明列表 （参见patents.iec.ch）。 本文件中使用的任何商品名称都是为了方便用户而提供的信息，并不构成认可。 有关标准的自愿性质的解释、与合格评定相关的ISO 特定术语和表述的含义，以 及有关ISO 遵守《技术性贸易壁垒（TBT）中遵守世界贸易组织（WTO）原则》的信 息，请参见/iso/foreword.html 。IEC 的有关信息请参见www.iec.ch/unders tanding-standards 。 本文件由ISO/IEC JTC 1 联合技术委员会信息技术分委员会SC 27 信息安全、网 络安全和隐私保护编写。 第三版取消并取代了第二版（ISO/IEC 27002 ：2013），包含第二版的技术修订IS O/IEC 27002:2013/Cor.1:2014 和ISO/IEC 27002:2013/Cor.2:2015。 主要变化如下： — 修改了标题； — 改变了文档的结构，使用简单的分类法和相关属性来呈现控制； — 一些控制被合并，一些被删除，一些