发布日期:2025-07-20 浏览次数:
如今的数字威胁形势与2013年截然不同,每年都会出现新的技术趋势和威胁。分布式和混合式劳动力、云原生架构、“自带一切”的文化、更加狡猾和老练的对手、人工智能以及AI代理,重新定义了实体对数据安全的认知。
作为回应,ISO/IEC 27001 标准(长期以来被视为网络安全治理的基石)于 2022 年进行了修订,以帮助公司管理这些新兴风险和运营现实。
以下是 2013 年版和 2022 年版之间的变化:
新威胁、新控制:增加了 11 个新控制来反映云使用、数据生命周期保护和威胁情报。
更少、更智能的类别:控制数量从 114 个精简到 93 个,并分为四个明确的主题:组织、人员、物理和技术。
更加注重以数据为中心的安全性:现在的控制要求通过屏蔽、删除和防止泄漏来主动保护敏感数据。
云和 SaaS 是核心:该标准认识到保护混合环境、云基础设施和 API 驱动的工作流程的复杂性。
转向持续保证:组织需要实时监控和响应安全事件;单靠预防已经不够了。
与现代框架保持一致:零信任、NIST 和基于风险的安全治理方法更加和谐。
结果如何?ISO/IEC 27001:2022 更加贴合当今的风险,要求也更高。在云、混合和分散环境中实施控制措施的需求意味着传统的安全方法已不再适用。
Thales提供全面的云就绪产品组合,助力您实现合规,满足 ISO/IEC 27001:2022 的要求。我们的解决方案涵盖六个基本类别,每个类别都旨在对应更新标准中概述的控制领域和不断变化的风险。
威胁检测与情报
利用威胁情报和行为分析来检测和应对不断变化的风险。监控多云和混合环境中的数据访问和系统活动。支持威胁情报、监控和事件管理的控制。
云数据安全
在所有云平台上加密静态、动态和使用中的数据。即使数据驻留在公有云中,也能掌控您的加密密钥。在责任共担的环境中,确保数据的机密性和完整性。
识别并分类数据资产中的敏感信息。根据数据类型和敏感度自动标记并执行策略。启用下游控制,例如屏蔽、加密和安全删除。
数据丢失预防
保护敏感数据免遭未经授权的访问、共享或泄露。应用标记化、细粒度加密和用户访问控制。在满足合规性要求的同时,限制内部和外部威胁。
应用程序和 API 保护
保护 Web 应用程序和 API 免受已知和未知威胁的侵害。使用机器学习检测机器人程序、业务逻辑滥用和 DDoS 攻击。确保面向客户的数字服务具备韧性。
身份和访问管理(IAM)
通过自适应 MFA 和基于策略的访问增强用户身份验证。确保合适的人员在合适的时间访问合适的数据,从而支持零信任。跨云和本地系统集中进行身份治理。
Thales提供支持 ISO/IEC 27001:2022 合规性的技术,并提高运营弹性、可见性和控制力。
CipherTrust 数据安全平台:加密、标记化、密钥管理和数据发现,全部集中在一个平台上。
数据安全态势管理 (DSPM):可视化并保护 IaaS、PaaS 和 SaaS 生态系统中的敏感数据。
Imperva 应用程序安全:为您的应用程序、API 和 Web 资产提供端到端保护。
Thales身份和访问管理:通过智能 MFA、SSO 和身份分析实现安全访问。
下表非详尽地映射了Thales产品如何支持修订后的 ISO/IEC 27001:2022 控制。
| ISO 27001:2022 控制 | Thales产品 | 解决方案 |
| A.5.7 – 威胁情报 |
| 提供主动威胁检测、行为分析和事件关联 |
| A.5.23 – 云服务的使用 |
| 加密、访问策略和数据分类可确保多云环境中的数据安全 |
| A.8.10 – 数据删除 |
| 通过加密粉碎或自动删除工作流程实现数据的安全擦除 |
| A.8.11 – 数据屏蔽 |
| 通过标记和屏蔽来保护敏感字段,以最大限度地减少暴露 |
| A.8.12 – 数据泄漏防护 |
| 通过用户访问控制、策略实施和加密防止数据泄露 |
| A.8.16 – 监控活动 |
| 实时监控应用程序、API 和数据库的访问和活动 |
| A.5.15 / A.5.17 – 访问控制和身份验证 |
| 跨服务提供基于风险的访问策略、SSO 和自适应身份验证 |
获得 ISO/IEC 27001:2022 认证是一个里程碑,但面对不断演变的威胁,保持信任、连续性和韧性则需要付出更多努力。Thales将安全性嵌入到每个基础设施、数据和身份堆栈层,助您更上一层楼。
点击此处,查看《数据安全符合 ISO/IEC 27001:2022 标准 - 合规性满足》解决方案。也可以联系揽阁信息,获取更多Thales产品资料。
揽阁信息 · 值得您信赖的信息安全顾问!
沪公网安备31011202021337号 网站地图
友情链接: Thales官网 芯片产品网站 服务热线
