ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls

こんにちは、丸山満彦です。

ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controlsが公表されていますね。。。

 

● ISO - International Organization for Standardization

・ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls

・Preview

Table of contents

Foreword

Introduction

1 Scope

2 Normative references

3 Terms, definitions and abbreviated terms

3.1 Terms and definitions

3.2 Abbreviated terms

4 Structure of this document

4.1 Clauses

4.2 Themes and attributes

4.3 Control layout

5 Organizational controls

5.1 Policies for information security

5.2 Information security roles and responsibilities

5.3 Segregation of duties

5.4 Management responsibilities

5.5 Contact with authorities

5.6 Contact with special interest groups

5.7 Threat intelligence

5.8 Information security in project management

5.9 Inventory of information and other associated assets

5.10 Acceptable use of information and other associated assets

5.11 Return of assets

5.12 Classification of information

5.13 Labelling of information

5.14 Information transfer

5.15 Access control

5.16 Identity management

5.17 Authentication information

5.18 Access rights

5.19 Information security in supplier relationships

5.20 Addressing information security within supplier agreements

5.21 Managing information security in the ICT supply chain

5.22 Monitoring, review and change management of supplier services

5.23 Information security for use of cloud services

5.24 Information security incident management planning and preparation

5.25 Assessment and decision on information security events

5.26 Response to information security incidents

5.27 Learning from information security incidents

5.28 Collection of evidence

5.29 Information security during disruption

5.30 ICT readiness for business continuity

5.31 Legal, statutory, regulatory and contractual requirements

5.32 Intellectual property rights

5.33 Protection of records

5.34 Privacy and protection of PII

5.35 Independent review of information security

5.36 Compliance with policies, rules and standards for information security

5.37 Documented operating procedures

6 People controls

6.1 Screening

6.2 Terms and conditions of employment

6.3 Information security awareness, education and training

6.4 Disciplinary process

6.5 Responsibilities after termination or change of employment

6.6 Confidentiality or non-disclosure agreements

6.7 Remote working

6.8 Information security event reporting

7 Physical controls

7.1 Physical security perimeters

7.2 Physical entry

7.3 Securing offices, rooms and facilities

7.4 Physical security monitoring

7.5 Protecting against physical and environmental threats

7.6 Working in secure areas

7.7 Clear desk and clear screen

7.8 Equipment siting and protection

7.9 Security of assets off-premises

7.10 Storage media

7.11 Supporting utilities

7.12 Cabling security

7.13 Equipment maintenance

7.14 Secure disposal or re-use of equipment

8 Technological controls

8.1 User endpoint devices

8.2 Privileged access rights

8.3 Information access restriction

8.4 Access to source code

8.5 Secure authentication

8.6 Capacity management

8.7 Protection against malware

8.8 Management of technical vulnerabilities

8.9 Configuration management

8.10 Information deletion

8.11 Data masking

8.12 Data leakage prevention

8.13 Information backup

8.14 Redundancy of information processing facilities

8.15 Logging

8.16 Monitoring activities

8.17 Clock synchronization

8.18 Use of privileged utility programs

8.19 Installation of software on operational systems

8.20 Networks security

8.21 Security of network services

8.22 Segregation of networks

8.23 Web filtering

8.24 Use of cryptography

8.25 Secure development life cycle

8.26 Application security requirements

8.27 Secure system architecture and engineering principles

8.28 Secure coding

8.29 Security testing in development and acceptance

8.30 Outsourced development

8.31 Separation of development, test and production environments

8.32 Change management

8.33 Test information

8.34 Protection of information systems during audit testing

Annex A Using attributes

A.1 General

A.2 Organizational views

Annex B Correspondence of ISO/IEC 27002:2022 (this document) with ISO/IEC 27002:2013

Bibliography

 

 

---

 

2022.05.18 追記

日本規格協会から、英日対訳版も販売されていますね。。。対訳版は税込54,879円ですね。。。JISになると、十分の一くらいの価格ですかね。。。

 

● 日本規格協会グループ

・ISO/IEC 27002:2022 情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティ管理策 Information security, cybersecurity and privacy protection - Information security controls

 

 

新しくできた　5.7 Threat Intelligenceの部分。。。

5.7 Threat intelligence 

Control type	Information security properties	Cybersecurity concepts	Operational capabilities	Security domains
#Preventive #Detective #Corrective	#Confidentiality #Integrity #Availability	#Identify #Detect #Respond	#Threat_and_vulner- ability management	#Defence #Resilience

Control 

Information relating to information security threats should be collected and analysed to produce threat intelligence. 

Purpose 

To provide awareness of the organization's threat environment so that the appropriate mitigation actions can be taken. 

Guidance 

Information about existing or emerging threats is collected and analysed in order to: 

a) facilitate informed actions to prevent the threats from causing harm to the organization;

b) reduce the impact of such threats. 

Threat intelligence can be divided into three layers, which should all be considered: 

a) strategic threat intelligence: exchange of high-level information about the changing threat landscape (e.g. types of attackers or types of attacks); 

b) tactical threat intelligence: information about attacker methodologies, tools and technologies involved; 

c) operational threat intelligence: details about specific attacks, including technical indicators. 

Threat intelligence should be:

a) relevant i.e. related to the protection of the organization); 

b) insightful (i.e. providing the organization with an accurate and detailed understanding of the threat landscape); 

c) contextual, to provide situational awareness (i.e. adding context to the information based on the time of events, where they occur, previous experiences and prevalence in similar organizations); 

d) actionable (i.e. the organization can act on information quickly and effectively). 

Threat intelligence activities should include: 

a) establishing objectives for threat intelligence production; 

b) identifying, vetting and selecting internal and external information sources that are necessary and appropriate to provide information required for the production of threat intelligence;

c) collecting information from selected sources, which can be internal and external;

d) processing information collected to prepare it for analysis (e.g. by translating, formatting or corroborating information); 

e) analysing information to understand how it relates and is meaningful to the organization; 

f) communicating and sharing it to relevant individuals in a format that can be understood.

Threat intelligence should be analysed and later used: 

a) by implementing processes to include information gathered from threat intelligence sources into the organization's information security risk management processes;

b) as additional input to technical preventive and detective controls like firewalls, intrusion detection system, or anti malware solutions; 

c) as input to the information security test processes and techniques. 

The organization should share threat intelligence with other organizations on a mutual basis in order to improve overall threat intelligence. 

Other information 

Organizations can use threat intelligence to prevent, detect, or respond to threats. Organizations can produce threat intelligence, but more typically receive and make use of threat intelligence produced by other sources. 

Threat intelligence is often provided by independent providers or advisors, government agencies or collaborative threat intelligence groups. The effectiveness of controls such as 5.25, 8.7, 8.16 or 8.23, depends on the quality of available threat intelligence. 

 

----

5.25 Assessment and decision on information security events

8.7 Protection against malware

8.16 Monitoring activities

8.23 Web filtering

---

 

5.7 脅威インテリジェンス 

管理策のタイプ	情報セキュリティ特性	サイバーセキュリティ概念	追加的力量	セキュリティ領域
#Preventive #Detective #Corrective	#Confidentiality #Integrity #Availability	#Identify #Detect #Respond	#Threat_and_vulner- ability management	#Defence #Resilience

管理策 

情報セキュリティの脅威に関連する情報を収集・分析し、脅威インテリジェンスを作成する必要がある。 

目的 

組織の脅威環境を認識し、適切な緩和策を講じることができるようにする。 

ガイダンス 

既存の脅威や新たな脅威に関する情報を収集・分析し、以下のような目的で利用する。 

a) 脅威が組織に害を及ぼすのを防ぐために、情報に基づいた行動を促進する。;

b) 脅威の影響を軽減する。

脅威のインテリジェンスは3層に分けられ、これらすべてを考慮する必要がある。 

a) 戦略的脅威インテリジェンス：変化する脅威の状況（攻撃者のタイプや攻撃の種類など）に関するハイレベルな情報の交換。

b) 戦術的脅威インテリジェンス：攻撃者の方法論、ツール、関連する技術に関する情報。

c) 運用的脅威インテリジェンス：技術的な指標を含む特定の攻撃に関する詳細情報。

脅威の情報は次のようにあるべきである。

a) 組織の保護に関連したものであること。

b) 洞察力があること（脅威の状況を正確かつ詳細に理解して組織に提供すること）。

c) 状況認識を提供するための文脈性（出来事の時間、発生場所、過去の経験、類似組織での普及率などに基づいて情報に文脈を付加すること）をもつこと。

d) 行動可能であること（組織が情報に基づいて迅速かつ効果的に行動できること）。

脅威インテリジェンス活動は以下を含む。 

a) 脅威インテリジェンス作成の目的の設定

b) 脅威インテリジェンス作成に必要な情報を提供するために必要かつ適切な内部および外部の情報源の特定、吟味、選択

c) 内部および外部の情報源からの情報収集

d) 収集した情報の分析のための処理（例：情報の翻訳、フォーマット、裏付けなど）

e) 情報の分析と、その情報が組織とどのように関連しているか、また組織にとって意味があるかの理解

f) 理解できる形式による関連する人々への情報の伝達と共有

脅威の情報は分析され、後工程に利用されるべきである。 

a) 脅威の情報源から収集した情報を、組織の情報セキュリティリスク管理プロセスに含めるためのプロセスの実施

b) ファイアウォール、侵入検知システム、マルウェア対策などの技術的な予防・検知対策への追加的なインプット

c) 情報セキュリティテストのプロセスと技術へのインプット

組織は、全体的な脅威の情報を向上させるために、他の組織と相互に脅威の情報を共有すべきである。 

Other information 

組織は、脅威を防止、検出、または対応するために、脅威インテリジェンスを利用することができる。組織は脅威インテリジェンスを作成することもできるが、より一般的には、他のソースによって作成された脅威インテリジェンスを受け取り、活用する。

脅威インテリジェンスは多くの場合、独立したプロバイダーやアドバイザー、政府機関、または共同の脅威の情報グループによって提供される。5.25、8.7、8.16、8.23 などの管理策の有効性は、利用可能な脅威インテリジェンスの質に依存する。

 

-----

5.25 情報セキュリティイベントの評価と判断

8.7 マルウェアからの保護

8.16 監視活動

8.23 Webフィルタリング