ISO27032网络空间安全管理体系认证 1 几个安全领域的界定 ISO/IEC 27032: 2012中特别强调了几个安全领域之间的交集和区别,其中包括: 1.应用安全(application security),应用安全是实现部署组织应用的控制措施以及测量的过程,从而实现管理其风险。控制措施与测量可能被部署至信息安全,信息安全主要关注信息保密性、完整性和可用性的保护; 2.互联网安全(internet security),互联网安全关注保护互联网相关服务、相关的ICT 系统以及组织内和本地网络安全的延伸;网络安全(network security)[1-2],网络安全关注组织内部、组织间以及组织与用户间网络的设计、部署以及运维; 3.应用本身(包括过程、组件、软件和结果),其中的数据(配置数据、用户数据和组织数据),及所有的技术、过程以及应用生命周期中涉及的角色。 4.关键信息基础设施保护(critical information infrastructure protection,CIIP),CIIP 主要关注关键设施,例如能源、电信以及水利等。 网络安全与上述几个词汇不是同义词,而是各有侧重。如图1所示。 1.值得指出的是,ISO/IEC 27032: 2012中还有两种安全:security 与safety。表1中给出了三种网络安全概念的区别。 2.ITU-T,国际电信联盟(International Telecommunication Union)电信标准分支机构(Telecommunication Standardization Sector), ITU-T是国际电信联盟管理下的专门制定电信标准的分支机构。 3.两种网络安全,cybersecurity与network security,是由于翻译的原因产生,在英文中,并无歧义。具体原因,请参考信息安全管理系列中文献[1]与文献[2]的介绍。 图1 几个安全领域的交集与区别 三种网络安全 概念区别cybersecurity 网络安全1)保持网络空间中信息的保密性、完整性和可用性;2)这个定义修改自ISO/IEC 27000:2009;3)cybersecurity是cyberspace security的缩写。 cybersafety 网络安全 1. 网络安全的基本框架ISO/IEC 27032:2012架构如图2所示。如图2所示,ISO/IEC 27032: 2012标准的组织并不是围绕流程展开。从*9章和*12章来看,基本框架实际还是来源于信息安全风险管理[3]。在*9章中,网络空间中存在诸多威胁,而网络空间中的资产又存在诸多脆弱性,从而有来自内部或者外部的攻击(attack)。在*12章中指出,一旦识别出风险,那么部署相应的控制措施。这个框架与现有的信息安全风险管理保持了一致。 2.是指保护从而防止物理的、社会的、精神的、金融的、政治的、情绪的、偶然的、心理的、教育的或者其他类型的失败、破坏、错误和事故的影响。2)可见safety比security更广义。network security 网络安全network security是指“网络(network)的安全”,cybersecurity是指“网络空间(cyberspace)的安全”。英文中缩写并无歧义[2]。 3 利益相关者 利益相关者(stakeholders)在信息安全领域,例如ISO/IEC 27001:2013中也有涉及,但并不是非常重要的概念,但是在ISO/IEC 27032:2012中不同,用了较多的篇幅讨论利益相关者,同时还给出了两种定义。 定义1:引用自ISO Guide 73:2009,〈风险管理〉能够影响、被影响、或感知自己被某个决定或活动影响的人或组织。 定义2:引用自ISO/IEC 12207:2008,〈系统〉拥有一个系统的权力、股份、声明或兴趣的个体或组织,或者具备满足他们需求与期望的特征。 在网络空间中,利益相关者可能包括:? 用户,包括:——个体;——私营或公共组织。? 供应商,包括但不限于:——互联网服务提供商;——应用服务提供商。 4 网络空间中的资产 资产在ISO/IEC 27001:2013也是重要的管理对象,例如在“A.8资产管理”中,但是在ISO/IEC 27001:2013中尤其强调信息分级(information classification),在ISO/IEC 27032:2012中把资产按照归属分成个人资产(personal assets)与组织资产(organizational assets),当然资产包括的分类与信息安全中基本还是一致的,包括但不限于: 信息; 软件,例如计算机程序;? 物理的,例如计算机;? 服务;人,他们的资质,技能和经历;? 无形资产,例如声誉与形象。基于利益相关者以及资产的分类 1 范围 2 应用 3 规范性引用文件 4 术语和定义 5 术语缩写 6 概述 7 网络空间的利益相关者(Stakeholders in the cyberspace) 8 网络空间的资产(Assets in the cyberspace)10 网络空间中利益相关者的角色(Roles of stakeholders in theCyberspace)11 利益相关者指南(Guidelines for stakeholders) 9 网络空间安全面监的威胁(Threats against the security of the 10信息共享与合作框架(Framework of information sharing 11网络安全控制措施(Cybersecurity controls)
词条
词条说明
湖北贯标ISO27040认证机构 在信息安全认证领域内,湖北贯标企业管理咨询有限公司拥有专业的审核团队,其*多数审核员拥有多标准资 质。这一庞大的多技能审核员队伍意味着贯标能够同时在全国不同的地点处理多标准审核,加快合规保证过程,使您的 项目**管理。 从**品牌到雄心勃勃的小型公司,我们帮助过全国1000多家客户,让他们在竞争中更胜一筹。作为少数几个全 面彻底了解标准的组织之一,我们不止是评
那些企业可以申请ISO 27018公有云中个人身份信息管理体系认证
ISO/IEC 27018强调了各种公司与其客户之间进行通信的重要性,以开发合适的安全管理流程。 另外,ISO/IEC 27018 规定了客户与云提供商之间的关系。该标准可以帮助云提供商识别重要的安全方面,以便确定合适的合作伙伴。以下企 业适合做此类认证: 以信息为生命线的行业: 1、金融行业:银行、保险、证券、基金、期货等 2、通信行业:电信、网通、移动、联通等 3、皮包公司:外贸、进出口、H
ISO27032网络空间安全管理体系认证 1 几个安全领域的界定 ISO/IEC 27032: 2012中特别强调了几个安全领域之间的交集和区别,其中包括: 1.应用安全(application security),应用安全是实现部署组织应用的控制措施以及测量的过程,从而实现管理其风险。控制措施与测量可能被部署至信息安全,信息安全主要关注信息保密性、完整性和可用性的保护; 2.互联网安全(inte
申请ISO27701管理体系认证的流程是什么: 1、按照ISO 27701管理体系标准要求建立体系框架; 2、体系建立后,需要运行一段时间,较少三个月,产生三个月的运行记录; 3、向认证机构递交审核申请; 4、认证机构评估费用和正式审核时间; 5、认证机构将进行预审,在正式审核**除一些重大的确失,同时让客户熟悉审核的方 法危险评估,审查方针,范围和采用的程序。检查体系中遗漏和繁琐需要修改的地方
公司名: 湖北省贯标企业管理咨询有限公司
联系人: 钟银涛
电 话:
手 机: 18696115158
微 信: 18696115158
地 址: 湖北仙桃沙嘴龙华山办事处仙源大道1幢1楼104
邮 编: 433000
中国yiner果泥市场投资策略及发展前景预测报告2020年版
¥7000.00