新版ISO 27002制定进度步入尾声，距上次改版已8年的ISO 27001还没动静

这十多年来，企业与-组织日益重视资安，ISO 27001系列相关的国际通用验证标准，以及相关制度，逐渐成为主流的资讯安全架构，值得关注的是，这系列标准可能在接下来两三个月后，就有新版发布。

基本上，现行国际资安标准ISO 27001:2013，是在2013年10月推出的，距今有8年之久，而更前一次发布则是2005年。

简单来说，ISO 27001:2013是可被实际验证的国际资安管理标准， 订定ISMS管理制度面的要求，至于另一套ISO 27002:2013，是完全对应ISO 27001:2013的附录A，作用在于使两者保持一致，可针对附录A的控制要求，给予最佳实践方式，提供完整且具体的指引参考。

随着全球威胁局势转变，资安管理标准也要合乎时宜，因此，早在2018年3月，ISO国际标准组织就已启动相关改版计划。

今年这项计划有了明显的进展。在4月23日，新版ISO 27002国际标准草案（DIS版）完成投票，到了8月23日，最终草案版本开始登记。

目前可确定的是，新版ISO 27002进度接近尾声，现将等待进行最终草案版本的投票，而投票启动后还需要8周，之后将明定为最终草案版本，再进入最后标准发布程序。

尽管验证标准ISO 27001的改版时程，在ISO官方网站上仍未有消息，但相关动作仍意谓著，ISO 27001/ISO 27002新版本发布时程，已经离现在不远。

目前ISO 27002改版进度较明确，已于8月23日开始登记，接下来就会进行投票，大约两三个月后，也就是明年初就会确定公布，整体改版时程历经近4年。至于ISO 27001的改版，最近在10月也传出将开始讨论会议，但多久能完成改版，需视改版幅度而定。

标准名称将有变动，扩大资安控制范围并从标题删除实践准则一词

关于这次改版的内容，在国际组织ISO官方网站上，已有透露相关资讯。例如，在其公布的ISO 27002草案版本中，从名称来看，新版ISO 27002就有很大不同。

以ISO 27002:2013为例，现行版本的名称是：“资讯科技—安全技术—资讯安全控制实施准则”，未来，将变成“资讯安全、网络安全及隐私保护—资讯安全控制”。

特别的是，“实践准则”将从标题中删除，因为，ISO希望27002的存在，能更妥善反映其作为资安控制参考的目的。ISO指出，所欲达成的目的并未改变，都是为了帮助组织做好资安控制，确保组织不会忽视任何必要的控制。而且，这些针对个别控制措施的指引，仍是基于国际公认的资安最佳实践。

在ISO 27002新版草案中，归纳4大资安控制类型，包括组织、人员、实体与技术

值得关注的是，依据新版草案来看，关于资安控制措施类别，将重新分为4大类别。具体而言，包括：第五章的组织控制（Organization Controls），从5.1到5.37的章节当中，总共有37项控制措施；第六章人员控制（People Controls），有8项控制措施；第七章实体控制（Physical Controls），有17项控制措施；第八章技术控制（Technological Controls），有34项控制措施。因此，总共会有4大类别与96项控制措施。

同时ISO也提及，此标准文件的结构会有所改变，将使用简单的分类法来呈现控制措施。

整体而言，从ISO公布的草案版本章节名称，各界可看出这次改版的一些变化，包括：合并部分控制措施，甚至予以删除，也增加了多项新的控制措施。由于改版还在进行中，后续我们也将持续关注相关变化。