ISO27032网络空间安全管理体系认证

时间：2020-08-06

ISO27032网络空间安全管理体系认证

1 几个安全领域的界定
ISO/IEC 27032: 2012中特别强调了几个安全领域之间的交集和区别，其中包括：
1.应用安全（application security），应用安全是实现部署组织应用的控制措施以及测量的过程，从而实现管理其风险。控制措施与测量可能被部署至信息安全，信息安全主要关注信息保密性、完整性和可用性的保护；

2.互联网安全（internet security），互联网安全关注保护互联网相关服务、相关的ICT 系统以及组织内和本地网络安全的延伸；网络安全（network security）[1-2]，网络安全关注组织内部、组织间以及组织与用户间网络的设计、部署以及运维；

3.应用本身（包括过程、组件、软件和结果），其中的数据（配置数据、用户数据和组织数据），及所有的技术、过程以及应用生命周期中涉及的角色。

 
4.关键信息基础设施保护（critical information infrastructure protection，CIIP），CIIP 主要关注关键设施，例如能源、电信以及水利等。
网络安全与上述几个词汇不是同义词，而是各有侧重。如图1所示。

1.值得指出的是，ISO/IEC 27032: 2012中还有两种安全：security 与safety。表1中给出了三种网络安全概念的区别。

 2.ITU-T，国际电信联盟（International Telecommunication Union）电信标准分支机构（Telecommunication Standardization Sector）, ITU-T是国际电信联盟管理下的专门制定电信标准的分支机构。

 3.两种网络安全，cybersecurity与network security，是由于翻译的原因产生，在英文中，并无歧义。具体原因，请参考信息安全管理系列中文献[1]与文献[2]的介绍。
图1 几个安全领域的交集与区别
三种网络安全
概念区别cybersecurity 网络安全1）保持网络空间中信息的保密性、完整性和可用性；2）这个定义修改自ISO/IEC 27000：2009；3）cybersecurity是cyberspace security的缩写。
cybersafety 网络安全

1. 网络安全的基本框架ISO/IEC 27032：2012架构如图2所示。如图2所示，ISO/IEC 27032: 2012标准的组织并不是围绕流程展开。从*9章和*12章来看，基本框架实际还是来源于信息安全风险管理[3]。在*9章中，网络空间中存在诸多威胁，而网络空间中的资产又存在诸多脆弱性，从而有来自内部或者外部的攻击（attack）。在*12章中指出，一旦识别出风险，那么部署相应的控制措施。这个框架与现有的信息安全风险管理保持了一致。

2.是指保护从而防止物理的、社会的、精神的、金融的、政治的、情绪的、偶然的、心理的、教育的或者其他类型的失败、破坏、错误和事故的影响。2）可见safety比security更广义。network security 网络安全network security是指“网络（network）的安全”，cybersecurity是指“网络空间（cyberspace）的安全”。英文中缩写并无歧义[2]。

3 利益相关者
利益相关者（stakeholders）在信息安全领域，例如ISO/IEC 27001：2013中也有涉及，但并不是非常重要的概念，但是在ISO/IEC 27032：2012中不同，用了较多的篇幅讨论利益相关者，同时还给出了两种定义。
定义1：引用自ISO Guide 73：2009，〈风险管理〉能够影响、被影响、或感知自己被某个决定或活动影响的人或组织。
定义2：引用自ISO/IEC 12207：2008，〈系统〉拥有一个系统的权力、股份、声明或兴趣的个体或组织，或者具备满足他们需求与期望的特征。
在网络空间中，利益相关者可能包括：? 用户，包括：——个体；——私营或公共组织。? 供应商，包括但不限于：——互联网服务提供商；——应用服务提供商。

4 网络空间中的资产
资产在ISO/IEC 27001：2013也是重要的管理对象，例如在“A.8资产管理”中，但是在ISO/IEC 27001：2013中尤其强调信息分级（information classification），在ISO/IEC 27032：2012中把资产按照归属分成个人资产（personal assets）与组织资产（organizational assets），当然资产包括的分类与信息安全中基本还是一致的，包括但不限于：
 信息； 软件，例如计算机程序；? 物理的，例如计算机；? 服务；人，他们的资质，技能和经历；? 无形资产，例如声誉与形象。基于利益相关者以及资产的分类
1 范围
2 应用
3 规范性引用文件
4 术语和定义
5 术语缩写
6 概述
7 网络空间的利益相关者（Stakeholders in the cyberspace）
8 网络空间的资产（Assets in the cyberspace）10 网络空间中利益相关者的角色（Roles of stakeholders in theCyberspace）11 利益相关者指南（Guidelines for stakeholders）
9 网络空间安全面监的威胁（Threats against the security of the
10信息共享与合作框架（Framework of information sharing
11网络安全控制措施（Cybersecurity controls）

词条
词条说明
ISO27701隐私信息管理体系认证
随着信息技术的不断发展，人们对信息安全的关注日益提升，**多个国家和地区相继出台了一系列隐私保护的法律法规，例如欧盟的GDPR，中国的网络安全法，以及中国香港的个人隐私条例等，当前几乎所有的组织都有处理个人信息 (PII) 的情况。面对愈加严格的监管趋势和众多且复杂的法律法规, 企业如何有效的管理和保护用户个人信息及隐私？ 2019年8月6日，国际标准化组织ISO和国际电工**IEC正式对
安全集成服务资质认证证书是指什么
2020年8月10日，为什么现在这么多企业做信息安全集成服务资质认证，办理信息安全集成服务资质认证证书好处有哪些呢，一共有几个级别？今天咱们一起来了解一下。一 . 办理“信息安全集成服务资质”认证证书有什么好处： 1、信息系统安全集成服务资质是衡量服务提供者服务能力的尺度； 2、信息安全集成服务资质认证有助于信息安全提供商提高自身能力； 3、规范管理与技术，扩大服务商的影响； 4、办理信息安全集
GB/T35273个人信息安全管理体系认证
所谓认证: 即由认证机构依据特定的审核准则，按照规定的程序和方法对受审核方实施审核，以确定特定事项的符合性的活动。什么是GB/T35273:2017认可的认证: 是对组织个人信息安全管理体系，符合GB/T35273:2017要求的一种认证。这是一种通过*的第三方审核之后提供的保证：受认证的组织实施了信息安全管理体系，并且符合GB/T35273:2017标准的要求。通过GB/T35273:20
ISO28000 供应链安全管理体系认证证书是什么
源于自然或人为灾害的**供应链安全风险问题成为现今国际营商的主要挑战之一。一些具有详实记录的事故，如地震、飓风、亚洲海啸、恐怖和犯罪活动等，突显了人们迫切需要一个系统化及符协调性的解决方案。有见及此，国际标准化组织（ISO）针对人类、货物、基础设施和设备（包括传送方法）安全事故，制订了一系列文件，以预防供应链中可能出现的破坏性影响。 ISO28000供应链安全管理体系认证的基本含义: ISO280