ISO27001认证
热线:
Q Q:ISO/IEC 27032网络空间安全管理体系释义
发布时间:2020-06-17 作者:广汇联合 来源:广汇联合
ISO/IEC 27032:2012发布于2012年7月15日,与其他ISO/IEC 27000标准族的标准一致,该标准也是由ISO/IEC JTC1(信息技术)/SC27(IT安全技术) 开发。除了所有标准共同的引言外,正文共有13章,资料性附录3个。由于网络安全(cybersecurity)与已有的信息安全(information security)存在诸多一 致之处,ISO/IEC 27032: 2012大量借用了已有的信 息安全标准,看起来更像一个完整的“索引”,在附录C中还列出了相关的ISO/IEC标准以及ITU-T2)标准。也正源于此,ISO/IEC 27032:2012的标题为Guidelines,而不是Guide,Guidelines偏重于行动纲领或指导准则,例如由官方宣布但未成法的一些规定。或者说,ISO/IEC 27032:2012实际上是在略去与信息安全相同内容的前提下,用一个标准的篇幅给出了网络安全的框架建立指南。
ISO/IEC 27032: 2012中特别强调了几个安全领域之间的交集和区别,其中包括:
・ 信息安全,信息安全主要关注信息保密性、完整性和可用性的保护;
・ 应用安全(application security),应用安全是实现部署组织应用的控制措施以及测量的过程,从而实现管理其风险。控制措施与测量可能被部署至 应用本身(包括过程、组件、软件和结果),其中的数据(配置数据、用户数据和组织数据),及所有的技术、过程以及应用生命周期中涉及的角色。
・ 网络安全3)(network security)[1-2],网络安全关注组织内部、组织间以及组织与用户间网络的设计、部署以及运维;
・ 互联网安全(internet security),互联网安全关注保护互联网相关服务、相关的ICT系统以及组织内和本地网络安全的延伸;
・ 关键信息基础设施保护(critical information infrastructure protection,CIIP),CIIP主要关注关键设施,例如能源、电信以及水利等。 网络安全与上述几个词汇不是同义词,
而是各有侧重。如图1所示。
值得指出的是,ISO/IEC 27032: 2012中还有两种安全:security与safety。表1中给出了三种网络安全概念的区别。
值得指出的是,ISO/IEC 27032: 2012中还有两种安全:security与safety。表1中给出了三种网络安全概念的区别。
