ISO27032網(wǎng)絡(luò)空間安全管理體系認證

時間：2020-08-06作者：湖北省貫標企業(yè)管理咨詢有限公司瀏覽：136

ISO27032網(wǎng)絡(luò)空間安全管理體系認證

1 幾個安全領(lǐng)域的界定
ISO/IEC 27032: 2012中特別強調(diào)了幾個安全領(lǐng)域之間的交集和區(qū)別，其中包括：
1.應(yīng)用安全（application security），應(yīng)用安全是實現(xiàn)部署組織應(yīng)用的控制措施以及測量的過程，從而實現(xiàn)管理其風險?？刂拼胧┡c測量可能被部署至信息安全，信息安全主要關(guān)注信息保密性、完整性和可用性的保護；

2.互聯(lián)網(wǎng)安全（internet security），互聯(lián)網(wǎng)安全關(guān)注保護互聯(lián)網(wǎng)相關(guān)服務(wù)、相關(guān)的ICT 系統(tǒng)以及組織內(nèi)和本地網(wǎng)絡(luò)安全的延伸；網(wǎng)絡(luò)安全（network security）[1-2]，網(wǎng)絡(luò)安全關(guān)注組織內(nèi)部、組織間以及組織與用戶間網(wǎng)絡(luò)的設(shè)計、部署以及運維；

3.應(yīng)用本身（包括過程、組件、軟件和結(jié)果），其中的數(shù)據(jù)（配置數(shù)據(jù)、用戶數(shù)據(jù)和組織數(shù)據(jù)），及所有的技術(shù)、過程以及應(yīng)用生命周期中涉及的角色。

 
4.關(guān)鍵信息基礎(chǔ)設(shè)施保護（critical information infrastructure protection，CIIP），CIIP 主要關(guān)注關(guān)鍵設(shè)施，例如能源、電信以及水利等。
網(wǎng)絡(luò)安全與上述幾個詞匯不是同義詞，而是各有側(cè)重。如圖1所示。

1.值得指出的是，ISO/IEC 27032: 2012中還有兩種安全：security 與safety。表1中給出了三種網(wǎng)絡(luò)安全概念的區(qū)別。

 2.ITU-T，**電信聯(lián)盟（International Telecommunication Union）電信標準分支機構(gòu)（Telecommunication Standardization Sector）, ITU-T是**電信聯(lián)盟管理下的專門制定電信標準的分支機構(gòu)。

 3.兩種網(wǎng)絡(luò)安全，cybersecurity與network security，是由于翻譯的原因產(chǎn)生，在英文中，并無歧義。具體原因，請參考信息安全管理系列中文獻[1]與文獻[2]的介紹。
圖1 幾個安全領(lǐng)域的交集與區(qū)別
三種網(wǎng)絡(luò)安全
概念區(qū)別cybersecurity 網(wǎng)絡(luò)安全1）保持網(wǎng)絡(luò)空間中信息的保密性、完整性和可用性；2）這個定義修改自ISO/IEC 27000：2009；3）cybersecurity是cyberspace security的縮寫。
cybersafety 網(wǎng)絡(luò)安全

1. 網(wǎng)絡(luò)安全的基本框架ISO/IEC 27032：2012架構(gòu)如圖2所示。如圖2所示，ISO/IEC 27032: 2012標準的組織并不是圍繞流程展開。從*9章和*12章來看，基本框架實際還是來源于信息安全風險管理[3]。在*9章中，網(wǎng)絡(luò)空間中存在諸多威脅，而網(wǎng)絡(luò)空間中的資產(chǎn)又存在諸多脆弱性，從而有來自內(nèi)部或者外部的攻擊（attack）。在*12章中指出，一旦識別出風險，那么部署相應(yīng)的控制措施。這個框架與現(xiàn)有的信息安全風險管理保持了一致。

2.是指保護從而防止物理的、社會的、精神的、金融的、政治的、情緒的、偶然的、心理的、教育的或者其他類型的失敗、破壞、錯誤和事故的影響。2）可見safety比security較廣義。network security 網(wǎng)絡(luò)安全network security是指“網(wǎng)絡(luò)（network）的安全”，cybersecurity是指“網(wǎng)絡(luò)空間（cyberspace）的安全”。英文中縮寫并無歧義[2]。

3 利益相關(guān)者
利益相關(guān)者（stakeholders）在信息安全領(lǐng)域，例如ISO/IEC 27001：2013中也有涉及，但并不是非常重要的概念，但是在ISO/IEC 27032：2012中不同，用了較多的篇幅討論利益相關(guān)者，同時還給出了兩種定義。
定義1：引用自ISO Guide 73：2009，〈風險管理〉能夠影響、被影響、或感知自己被某個決定或活動影響的人或組織。
定義2：引用自ISO/IEC 12207：2008，〈系統(tǒng)〉擁有一個系統(tǒng)的權(quán)力、股份、聲明或興趣的個體或組織，或者具備滿足他們需求與期望的特征。
在網(wǎng)絡(luò)空間中，利益相關(guān)者可能包括：? 用戶，包括：——個體；——私營或公共組織。? 供應(yīng)商，包括但不限于：——互聯(lián)網(wǎng)服務(wù)提供商；——應(yīng)用服務(wù)提供商。

4 網(wǎng)絡(luò)空間中的資產(chǎn)
資產(chǎn)在ISO/IEC 27001：2013也是重要的管理對象，例如在“A.8資產(chǎn)管理”中，但是在ISO/IEC 27001：2013中尤其強調(diào)信息分級（information classification），在ISO/IEC 27032：2012中把資產(chǎn)按照歸屬分成個人資產(chǎn)（personal assets）與組織資產(chǎn)（organizational assets），當然資產(chǎn)包括的分類與信息安全中基本還是一致的，包括但不限于：
 信息； 軟件，例如計算機程序；? 物理的，例如計算機；? 服務(wù)；人，他們的資質(zhì)，技能和經(jīng)歷；? 無形資產(chǎn)，例如聲譽與形象?；诶嫦嚓P(guān)者以及資產(chǎn)的分類
1 范圍
2 應(yīng)用
3 規(guī)范性引用文件
4 術(shù)語和定義
5 術(shù)語縮寫
6 概述
7 網(wǎng)絡(luò)空間的利益相關(guān)者（Stakeholders in the cyberspace）
8 網(wǎng)絡(luò)空間的資產(chǎn)（Assets in the cyberspace）10 網(wǎng)絡(luò)空間中利益相關(guān)者的角色（Roles of stakeholders in theCyberspace）11 利益相關(guān)者指南（Guidelines for stakeholders）
9 網(wǎng)絡(luò)空間安全面監(jiān)的威脅（Threats against the security of the
10信息共享與合作框架（Framework of information sharing
11網(wǎng)絡(luò)安全控制措施（Cybersecurity controls）




 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


湖北省貫標企業(yè)管理咨詢有限公司專注于物業(yè)管理服務(wù)認證,企業(yè)誠信管理體系認證,ISO10015認證等

• 詞條

  詞條說明

• ISO27701認證流程及條件

  申請ISO27701管理體系認證的流程是什么： 1、按照ISO 27701管理體系標準要求建立體系框架； 2、體系建立后，需要運行一段時間，較少三個月，產(chǎn)生三個月的運行記錄； 3、向認證機構(gòu)遞交審核申請； 4、認證機構(gòu)評估費用和正式審核時間； 5、認證機構(gòu)將進行預(yù)審，在正式審核**除一些重大的確失，同時讓客戶熟悉審核的方 法危險評估，審查方針，范圍和采用的程序。檢查體系中遺漏和繁瑣需要修改的地方

• ISO37001反賄賂管理體系認證

  2020年8月13日，ISO37001反賄賂管理體系認證《ISO37001標準》體現(xiàn)了**上反賄賂的較佳實踐，為各類組織反賄賂管理提供了系統(tǒng)化的管理方法，具有廣泛的借鑒意義。針對組織所面臨的賄賂風險，標準對于不同組織實施相適應(yīng)的方針、程序和控制措施都有明確要求，因此可用于所有地方和所有組織，不管其規(guī)模和性質(zhì)。 一、反賄賂管理體系采用包括支持性指導在內(nèi)的一系列相關(guān)措施和控制措施規(guī)定了以下要求： 反

• 湖北ISO27040認證機構(gòu)

  湖北貫標ISO27040認證機構(gòu) 在信息安全認證領(lǐng)域內(nèi)，湖北貫標企業(yè)管理咨詢有限公司擁有專業(yè)的審核團隊，其*多數(shù)審核員擁有多標準資 質(zhì)。這一龐大的多技能審核員隊伍意味著貫標能夠同時在全國不同的地點處理多標準審核，加快合規(guī)保證過程，使您的 項目**管理。 從**品牌到雄心勃勃的小型公司，我們幫助過全國1000多家客戶，讓他們在競爭中較勝一籌。作為少數(shù)幾個全 面徹底了解標準的組織之一，我們不止是評

• ISO29151個人數(shù)據(jù)隱私保護管理體系認證

  所謂ISO29151個人數(shù)據(jù)隱私保護管理體系認證: 即由認證機構(gòu)依據(jù)特定的審核準則，按照規(guī)定的程序和方法對受審核方實施審核，以確定特定事項的符合性的活動。 ISO/IEC 29151:2017個人數(shù)據(jù)隱私保護管理體系認證受認可的認證: 是對組織ISO 29151個人數(shù)據(jù)隱私保護管理體系認證要求的一種認證。這是一種通過*的第三方審核之后提供的保證：受認證的組織實施了ISO 29151個人數(shù)據(jù)隱私保