最后更新于2023年4月28日(星期五)19:52:49 GMT

James Alaniz和钻石公平对本文也有贡献.

我们最近一直顺风顺水 发布新的遵从性包,与…一起 对他人的迭代更新 我们已经支持了一段时间了. 我们也还没做完! 在本文中,我们将讨论新发布的遵从性包 InsightCloudSec: iso 27001:2022.

InsightCloudSec支持一个 ISO 27001合规包 已经有一段时间了. However, 当ISO发布2022年更新时, 我们为那些选择实施新指导方针的人们开发了一个替代方案.

就像任何一个 遵从性标准和框架 我们支持InsightCloudSec, 新包将我们的见解与ISO概述的要求(在这种情况下)保持一致, (具体见附件A),以帮助组织持续评估是否符合标准,无论是针对其内部过程还是在寻求认证时.

在这篇文章的后面,我们将深入研究如何使用InsightCloudSec来做到这一点, but first, 让我们回过头来谈谈标准本身以及它的重要性.

什么是ISO 27001 ?为什么它很重要?

The 国际标准化组织(ISO) 是一个世界性的, 由来自160多个国家的代表组成的非政府标准机构联合会. 该组织旨在汇集标准机构制定, 维持和发展一套可广泛应用的国际标准化准则.

ISO 27001是一项广泛实施的标准,用于实施强大而有弹性的安全计划. 这个标准的基础就是ISO所说的“CIA三位一体”, 与你马上想到的相反,这与中央情报局无关. 在这种情况下,“CIA”指的是:

  • 保密,这是指确保敏感信息只有以下人员才能访问 should 可以访问它.
  • 信息的完整性, 它的目标是确保公司和客户数据以安全的方式存储,不会以任何其他方式被删除或损坏.
  • 数据的可用性, 这意味着那些能够并且应该获得信息的人能够随时随地自由地获取信息.

获得ISO 27001认证表明了您对信息安全的承诺,并向客户和合作伙伴发出信号,表明您正在采取必要的步骤来保护委托给您的敏感信息.

ISO 27001旨在为各种规模的公司提供指导, 对于行业和成熟度如何进行有效的定义, implement, 管理和持续改进他们的安全程序. 虽然这意味着它将适用于广泛的组织, 这也意味着您可能需要处理异常或采取唯一适用于您的需求的附加措施(基于您的业务组合和IT环境的组合)。.

那么2022年有什么新变化呢?

ISO 27001:2022为组织带来了一些更新的指导, 同时保持原有的基本原则.

主要的更新包括:

尽管增加了11个全新的控制, 从2013年的版本到2022年的版本,控制的总数有了相当大的下降, 从114降到93. 减少控制次数背后的驱动力是控制的巩固,而不是完全取消控制.

控制组也得到了整合,从之前的14个组减少到现在的4个组.

  • 组织控制(包含37个控制)
  • 人员控件(包含8个控件)
  • 物理控制(包含14个控制)
    技术控制(包含34项控制)

使用InsightCloudSec跟踪并执行ISO 27001:2022合规性

InsightCloudSec允许安全团队根据通用行业框架建立并持续测量合规性, 云提供商的最佳实践和/或针对特定业务需求量身定制的策略. InsightCloudSec中的合规性包是一组检查,可用于持续评估您的云环境是否符合您组织的策略.
如果创建或修改资源或帐户导致违反策略, InsightCloudSec将在几秒钟内检测到它. 如果你愿意, 您可以使用平台的本机, 通过删除或调整配置或权限来修复问题的无代码自动化,无需任何人工干预.