合规与框架
ISO/IEC 27002
别称: ISO 27002, 27002
定义
国际信息安全控制实施指南,为 ISO/IEC 27001 附录 A 中列出的控制提供详细实施建议。
ISO/IEC 27002 是与 ISO/IEC 27001 配套的标准,为信息安全控制的选择、实施和管理提供详细指引。2022 版将控制重新组织为组织、人员、物理和技术四大主题类别,共计 93 项控制。每项控制都说明其目的、实施指南及相关信息。与 ISO/IEC 27001 不同,ISO/IEC 27002 本身不可认证,但它是组织和咨询顾问在设计 ISMS、撰写安全策略或对照附录 A 控制时使用的实用参考。
示例
- 安全架构师依据 27002 指引设计访问管理策略。
- 咨询顾问将 27002 控制映射至客户的安全策略。