5Organizational controls 组织控制ISO/IEC 27001: 2022 附录A)
5.7Threat intelligence 威胁情报Control 控制
Information relating to information security threats shall be collected and analysed to produce threat intelligence. 与信息安全威胁相关的信息应被收集和被分析,以获得威胁情报。

控制解析:

  1. 本控制项是ISO/IEC 27001: 2022 中新增的要求,虽然在ISO/IEC 27001: 2013中没有这个要求,但很多组织也会做这一块。
  2. 实施本控制要求,组织应建立威胁情报管理过程,形成书面的《威胁情报管理程序》。
  3. 应在《威胁情报管理程序》中明确威胁情报的类型,如:(1)战略威胁情报:不断变化的威胁情形(例如,攻击者或攻击类型)的高级别信息的交换;(2)战术威胁情报:关于攻击方法、工具和涉及的技术的信息;(3)操作威胁情报:具体攻击的细节,包括技术指标。
  4. 应在《威胁情报管理程序》中明确相关过程和活动,如:(1)建立威胁情报收集的目标;(2)识别、评价和选择必要和适当的内部和外部信息来源,以便为收集威胁情报提供所需的信息;(3)从选定的来源收集信息,可以是内部和外部的;(4)处理收集到的信息,为分析做好准备(例如,转换、格式化或证实信息);(5)分析信息,理解其与组织的关系和对组织的重要性;(6)以一种可以理解的形式,与相关人员进行沟通和共享收集的威胁情报;(7)通过实施流程,将从威胁情报来源收集的信息纳入组织的信息安全风险管理流程;(8)作为防火墙、入侵检测系统或反恶意软件解决方案等技术预防和检测控制的附加输入;(9)作为信息安全测试流程和技术的输入。

实施本控制应输出的文档:

  1. 《威胁情报管理程序》。
  2. 威胁情报收集清单。
  3. 威胁情报收集和分析记录。
  4. 威胁情报共享和沟通记录。

本控制审核要点:

  1. 是否建立书面的《威胁情报管理程序》。
  2. 是否能够提供威胁情报收集清单,清单中是否明确收集频率、收集方式、责任人等。
  3. 是否能提供威胁情报收集和分析记录,相关分析结果是否共享或与相关部门或人员进行沟通。