ISO27032網(wǎng)絡空間安全管理體系認證

時間：2020-08-06

ISO27032網(wǎng)絡空間安全管理體系認證

1 幾個安全領域的界定
ISO/IEC 27032: 2012中特別強調(diào)了幾個安全領域之間的交集和區(qū)別，其中包括：
1.應用安全（application security），應用安全是實現(xiàn)部署組織應用的控制措施以及測量的過程，從而實現(xiàn)管理其風險。控制措施與測量可能被部署至信息安全，信息安全主要關注信息保密性、完整性和可用性的保護；

2.互聯(lián)網(wǎng)安全（internet security），互聯(lián)網(wǎng)安全關注保護互聯(lián)網(wǎng)相關服務、相關的ICT 系統(tǒng)以及組織內(nèi)和本地網(wǎng)絡安全的延伸；網(wǎng)絡安全（network security）[1-2]，網(wǎng)絡安全關注組織內(nèi)部、組織間以及組織與用戶間網(wǎng)絡的設計、部署以及運維；

3.應用本身（包括過程、組件、軟件和結果），其中的數(shù)據(jù)（配置數(shù)據(jù)、用戶數(shù)據(jù)和組織數(shù)據(jù)），及所有的技術、過程以及應用生命周期中涉及的角色。

 
4.關鍵信息基礎設施保護（critical information infrastructure protection，CIIP），CIIP 主要關注關鍵設施，例如能源、電信以及水利等。
網(wǎng)絡安全與上述幾個詞匯不是同義詞，而是各有側重。如圖1所示。

1.值得指出的是，ISO/IEC 27032: 2012中還有兩種安全：security 與safety。表1中給出了三種網(wǎng)絡安全概念的區(qū)別。

 2.ITU-T，**電信聯(lián)盟（International Telecommunication Union）電信標準分支機構（Telecommunication Standardization Sector）, ITU-T是**電信聯(lián)盟管理下的專門制定電信標準的分支機構。

 3.兩種網(wǎng)絡安全，cybersecurity與network security，是由于翻譯的原因產(chǎn)生，在英文中，并無歧義。具體原因，請參考信息安全管理系列中文獻[1]與文獻[2]的介紹。
圖1 幾個安全領域的交集與區(qū)別
三種網(wǎng)絡安全
概念區(qū)別cybersecurity 網(wǎng)絡安全1）保持網(wǎng)絡空間中信息的保密性、完整性和可用性；2）這個定義修改自ISO/IEC 27000：2009；3）cybersecurity是cyberspace security的縮寫。
cybersafety 網(wǎng)絡安全

1. 網(wǎng)絡安全的基本框架ISO/IEC 27032：2012架構如圖2所示。如圖2所示，ISO/IEC 27032: 2012標準的組織并不是圍繞流程展開。從*9章和*12章來看，基本框架實際還是來源于信息安全風險管理[3]。在*9章中，網(wǎng)絡空間中存在諸多威脅，而網(wǎng)絡空間中的資產(chǎn)又存在諸多脆弱性，從而有來自內(nèi)部或者外部的攻擊（attack）。在*12章中指出，一旦識別出風險，那么部署相應的控制措施。這個框架與現(xiàn)有的信息安全風險管理保持了一致。

2.是指保護從而防止物理的、社會的、精神的、金融的、政治的、情緒的、偶然的、心理的、教育的或者其他類型的失敗、破壞、錯誤和事故的影響。2）可見safety比security較廣義。network security 網(wǎng)絡安全network security是指“網(wǎng)絡（network）的安全”，cybersecurity是指“網(wǎng)絡空間（cyberspace）的安全”。英文中縮寫并無歧義[2]。

3 利益相關者
利益相關者（stakeholders）在信息安全領域，例如ISO/IEC 27001：2013中也有涉及，但并不是非常重要的概念，但是在ISO/IEC 27032：2012中不同，用了較多的篇幅討論利益相關者，同時還給出了兩種定義。
定義1：引用自ISO Guide 73：2009，〈風險管理〉能夠影響、被影響、或感知自己被某個決定或活動影響的人或組織。
定義2：引用自ISO/IEC 12207：2008，〈系統(tǒng)〉擁有一個系統(tǒng)的權力、股份、聲明或興趣的個體或組織，或者具備滿足他們需求與期望的特征。
在網(wǎng)絡空間中，利益相關者可能包括：? 用戶，包括：——個體；——私營或公共組織。? 供應商，包括但不限于：——互聯(lián)網(wǎng)服務提供商；——應用服務提供商。

4 網(wǎng)絡空間中的資產(chǎn)
資產(chǎn)在ISO/IEC 27001：2013也是重要的管理對象，例如在“A.8資產(chǎn)管理”中，但是在ISO/IEC 27001：2013中尤其強調(diào)信息分級（information classification），在ISO/IEC 27032：2012中把資產(chǎn)按照歸屬分成個人資產(chǎn)（personal assets）與組織資產(chǎn)（organizational assets），當然資產(chǎn)包括的分類與信息安全中基本還是一致的，包括但不限于：
 信息； 軟件，例如計算機程序；? 物理的，例如計算機；? 服務；人，他們的資質(zhì)，技能和經(jīng)歷；? 無形資產(chǎn)，例如聲譽與形象?；诶嫦嚓P者以及資產(chǎn)的分類
1 范圍
2 應用
3 規(guī)范性引用文件
4 術語和定義
5 術語縮寫
6 概述
7 網(wǎng)絡空間的利益相關者（Stakeholders in the cyberspace）
8 網(wǎng)絡空間的資產(chǎn)（Assets in the cyberspace）10 網(wǎng)絡空間中利益相關者的角色（Roles of stakeholders in theCyberspace）11 利益相關者指南（Guidelines for stakeholders）
9 網(wǎng)絡空間安全面監(jiān)的威脅（Threats against the security of the
10信息共享與合作框架（Framework of information sharing
11網(wǎng)絡安全控制措施（Cybersecurity controls）

詞條
詞條說明
ISO29151認證好處及作用
企業(yè)做ISO29151認證的好處及作用 ISO/IEC 29151認證可以傳遞信任。客戶或合作伙伴，尤其是**組織、金融機構作為承擔隱私風險的機構，通常為要求PII處理者提供相關證據(jù)（如PIA分析報告），從而證明PII處理者的產(chǎn)品能符合使用的隱私管理體系要求。通過得到授權的第三方機構對PII處理者進行基于**標準的審核，可以較大的降低合規(guī)溝通成本，這種合規(guī)透明度的提高對于組織戰(zhàn)略和業(yè)務決策至關重要
ISO27017云服務信息安全管理體系認證的基本流程
ISO27017云服務信息安全管理體系認證的基本流程 1、按照ISO/IEC27017:2015云服務信息安全管理體系標準要求建立體系框架； 2、體系建立后，需要運行一段時間，較少三個月，產(chǎn)生三個月的運行記錄； 3、向認證機構遞交審核申請； 4、認證機構評估費用和正式審核時間； 5、認證機構將進行預審，在正式審核**除一些重大的確失，同時讓客戶熟悉審核的方法危險評估，審查方針，范圍和采用的程序
ISO37001反賄賂管理體系認證
2020年8月13日，ISO37001反賄賂管理體系認證《ISO37001標準》體現(xiàn)了**上反賄賂的較佳實踐，為各類組織反賄賂管理提供了系統(tǒng)化的管理方法，具有廣泛的借鑒意義。針對組織所面臨的賄賂風險，標準對于不同組織實施相適應的方針、程序和控制措施都有明確要求，因此可用于所有地方和所有組織，不管其規(guī)模和性質(zhì)。一、反賄賂管理體系采用包括支持性指導在內(nèi)的一系列相關措施和控制措施規(guī)定了以下要求：反
ISO27701隱私信息管理體系認證
隨著信息技術的不斷發(fā)展，人們對信息安全的關注日益提升，**多個國家和地區(qū)相繼出臺了一系列隱私保護的法律法規(guī)，例如歐盟的GDPR，中國的網(wǎng)絡安全法，以及中國香港的個人隱私條例等，當前幾乎所有的組織都有處理個人信息 (PII) 的情況。面對愈加嚴格的監(jiān)管趨勢和眾多且復雜的法律法規(guī), 企業(yè)如何有效的管理和保護用戶個人信息及隱私？ ?2019年8月6日，**標準化組織ISO和**電工**IEC正式對