ISO27032網(wǎng)絡(luò)空間安全管理體系認(rèn)證

時間：2020-08-06作者：湖北省貫標(biāo)企業(yè)管理咨詢有限公司瀏覽：129

ISO27032網(wǎng)絡(luò)空間安全管理體系認(rèn)證

1 幾個安全領(lǐng)域的界定
ISO/IEC 27032: 2012中特別強(qiáng)調(diào)了幾個安全領(lǐng)域之間的交集和區(qū)別，其中包括：
1.應(yīng)用安全（application security），應(yīng)用安全是實現(xiàn)部署組織應(yīng)用的控制措施以及測量的過程，從而實現(xiàn)管理其風(fēng)險?？刂拼胧┡c測量可能被部署至信息安全，信息安全主要關(guān)注信息保密性、完整性和可用性的保護(hù)；

2.互聯(lián)網(wǎng)安全（internet security），互聯(lián)網(wǎng)安全關(guān)注保護(hù)互聯(lián)網(wǎng)相關(guān)服務(wù)、相關(guān)的ICT 系統(tǒng)以及組織內(nèi)和本地網(wǎng)絡(luò)安全的延伸；網(wǎng)絡(luò)安全（network security）[1-2]，網(wǎng)絡(luò)安全關(guān)注組織內(nèi)部、組織間以及組織與用戶間網(wǎng)絡(luò)的設(shè)計、部署以及運維；

3.應(yīng)用本身（包括過程、組件、軟件和結(jié)果），其中的數(shù)據(jù)（配置數(shù)據(jù)、用戶數(shù)據(jù)和組織數(shù)據(jù)），及所有的技術(shù)、過程以及應(yīng)用生命周期中涉及的角色。

 
4.關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)（critical information infrastructure protection，CIIP），CIIP 主要關(guān)注關(guān)鍵設(shè)施，例如能源、電信以及水利等。
網(wǎng)絡(luò)安全與上述幾個詞匯不是同義詞，而是各有側(cè)重。如圖1所示。

1.值得指出的是，ISO/IEC 27032: 2012中還有兩種安全：security 與safety。表1中給出了三種網(wǎng)絡(luò)安全概念的區(qū)別。

 2.ITU-T，**電信聯(lián)盟（International Telecommunication Union）電信標(biāo)準(zhǔn)分支機(jī)構(gòu)（Telecommunication Standardization Sector）, ITU-T是**電信聯(lián)盟管理下的專門制定電信標(biāo)準(zhǔn)的分支機(jī)構(gòu)。

 3.兩種網(wǎng)絡(luò)安全，cybersecurity與network security，是由于翻譯的原因產(chǎn)生，在英文中，并無歧義。具體原因，請參考信息安全管理系列中文獻(xiàn)[1]與文獻(xiàn)[2]的介紹。
圖1 幾個安全領(lǐng)域的交集與區(qū)別
三種網(wǎng)絡(luò)安全
概念區(qū)別cybersecurity 網(wǎng)絡(luò)安全1）保持網(wǎng)絡(luò)空間中信息的保密性、完整性和可用性；2）這個定義修改自ISO/IEC 27000：2009；3）cybersecurity是cyberspace security的縮寫。
cybersafety 網(wǎng)絡(luò)安全

1. 網(wǎng)絡(luò)安全的基本框架ISO/IEC 27032：2012架構(gòu)如圖2所示。如圖2所示，ISO/IEC 27032: 2012標(biāo)準(zhǔn)的組織并不是圍繞流程展開。從*9章和*12章來看，基本框架實際還是來源于信息安全風(fēng)險管理[3]。在*9章中，網(wǎng)絡(luò)空間中存在諸多威脅，而網(wǎng)絡(luò)空間中的資產(chǎn)又存在諸多脆弱性，從而有來自內(nèi)部或者外部的攻擊（attack）。在*12章中指出，一旦識別出風(fēng)險，那么部署相應(yīng)的控制措施。這個框架與現(xiàn)有的信息安全風(fēng)險管理保持了一致。

2.是指保護(hù)從而防止物理的、社會的、精神的、金融的、政治的、情緒的、偶然的、心理的、教育的或者其他類型的失敗、破壞、錯誤和事故的影響。2）可見safety比security較廣義。network security 網(wǎng)絡(luò)安全network security是指“網(wǎng)絡(luò)（network）的安全”，cybersecurity是指“網(wǎng)絡(luò)空間（cyberspace）的安全”。英文中縮寫并無歧義[2]。

3 利益相關(guān)者
利益相關(guān)者（stakeholders）在信息安全領(lǐng)域，例如ISO/IEC 27001：2013中也有涉及，但并不是非常重要的概念，但是在ISO/IEC 27032：2012中不同，用了較多的篇幅討論利益相關(guān)者，同時還給出了兩種定義。
定義1：引用自ISO Guide 73：2009，〈風(fēng)險管理〉能夠影響、被影響、或感知自己被某個決定或活動影響的人或組織。
定義2：引用自ISO/IEC 12207：2008，〈系統(tǒng)〉擁有一個系統(tǒng)的權(quán)力、股份、聲明或興趣的個體或組織，或者具備滿足他們需求與期望的特征。
在網(wǎng)絡(luò)空間中，利益相關(guān)者可能包括：? 用戶，包括：——個體；——私營或公共組織。? 供應(yīng)商，包括但不限于：——互聯(lián)網(wǎng)服務(wù)提供商；——應(yīng)用服務(wù)提供商。

4 網(wǎng)絡(luò)空間中的資產(chǎn)
資產(chǎn)在ISO/IEC 27001：2013也是重要的管理對象，例如在“A.8資產(chǎn)管理”中，但是在ISO/IEC 27001：2013中尤其強(qiáng)調(diào)信息分級（information classification），在ISO/IEC 27032：2012中把資產(chǎn)按照歸屬分成個人資產(chǎn)（personal assets）與組織資產(chǎn)（organizational assets），當(dāng)然資產(chǎn)包括的分類與信息安全中基本還是一致的，包括但不限于：
 信息； 軟件，例如計算機(jī)程序；? 物理的，例如計算機(jī)；? 服務(wù)；人，他們的資質(zhì)，技能和經(jīng)歷；? 無形資產(chǎn)，例如聲譽(yù)與形象?；诶嫦嚓P(guān)者以及資產(chǎn)的分類
1 范圍
2 應(yīng)用
3 規(guī)范性引用文件
4 術(shù)語和定義
5 術(shù)語縮寫
6 概述
7 網(wǎng)絡(luò)空間的利益相關(guān)者（Stakeholders in the cyberspace）
8 網(wǎng)絡(luò)空間的資產(chǎn)（Assets in the cyberspace）10 網(wǎng)絡(luò)空間中利益相關(guān)者的角色（Roles of stakeholders in theCyberspace）11 利益相關(guān)者指南（Guidelines for stakeholders）
9 網(wǎng)絡(luò)空間安全面監(jiān)的威脅（Threats against the security of the
10信息共享與合作框架（Framework of information sharing
11網(wǎng)絡(luò)安全控制措施（Cybersecurity controls）




 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


湖北省貫標(biāo)企業(yè)管理咨詢有限公司專注于物業(yè)管理服務(wù)認(rèn)證,企業(yè)誠信管理體系認(rèn)證,ISO10015認(rèn)證等

• 詞條

  詞條說明

• 企業(yè)誠信管理體系認(rèn)證申請的條件

  在信用經(jīng)濟(jì)時代，企業(yè)如果不能做到誠信經(jīng)營，那么將來的發(fā)展將越來越艱難。為了降低交易成本和防范信用風(fēng)險，不管是企業(yè)還是個人對信用產(chǎn)品都有著強(qiáng)烈的需求。隨著我國誠信建設(shè)體制的不斷推進(jìn)和完善，信用產(chǎn)品已經(jīng)逐步由“奢侈品”變成“必須品”。 企業(yè)想要開拓市場，贏得客戶的青睞，那么客戶體驗與品牌建設(shè)是重中之重。企業(yè)誠信管理體系認(rèn)證，是與客戶建立信任關(guān)系的樞紐，同時也是樹立誠信形象的關(guān)鍵，不僅能夠真正地實現(xiàn)顧客

• 如何快速有效的通過ISO27701認(rèn)證

  如何快速有效的通過ISO27701認(rèn)證 已經(jīng)通過 ISO 27001 認(rèn)證，希望實現(xiàn) ISO 27701 要求的組織機(jī)構(gòu)，可以考慮采取下列步驟： 1. 按照 ISO 27701 的要求對現(xiàn)有 ISMS 執(zhí)行漏洞評估，生成如何解決這些漏洞的行動計劃。 2. 對組織機(jī)構(gòu)收集的 PII 執(zhí)行數(shù)據(jù)映射，了解所收集 PII 的范圍，弄清處理者共享和使用 PII 的方式。 3. 依據(jù)上下文相關(guān)的內(nèi)部或外部因

• 企業(yè)申請ISO44001認(rèn)證條件有哪些

  申請ISO44001管理體系認(rèn)證的基本條件： 1.中國企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》，《生產(chǎn)許可證》或等有限文件；外國企業(yè)持有關(guān)機(jī)構(gòu)的登記注冊證明。 2. 申請方的ISO44001；2017管理體系認(rèn)證已按其體系標(biāo)準(zhǔn)的要求建立，并實施運行三個月以上。 3.至少完成一次內(nèi)部評價評估，內(nèi)部審核，并進(jìn)行了管理評審。 4.體系運行期間及建立體系前的一年內(nèi)未受到主管部門行政處罰。 5.企

• ISO27018個人身份信息管理體系認(rèn)證

  深圳市新世紀(jì)企業(yè)管理顧問有限公司是專業(yè)從事ISO9001、ISO14001、OHSAS18001、ISO45001、 ISO/TS16949、IATF16949、ISO27001、ISO20000、ISO22000、ISO37001、ISO13485、ISO14024、 QC080000、TL9000、SA8000、ISO17025、AS9100、GMP、GJB9001(國**)、SMETA、SE