网络安全指南国际标准_ISO_IEC27032_2012_介绍_谢宗晓
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
本刊特约
信息安全管理系列之二十一
在之前的系列文章中,我们详细界定了网络(空间)安全的相关概念,并将其与信息安全等词汇进行了辨析1),但这只是解决了“是什么(What)”和“为什么(Why)”的问题,并没有解决“怎么做(How)”。ISO/IEC 27032:2012是ISO/IEC 27000标准族中关于网络安全的指南类标准,下文对其进行了介绍。
谢宗晓(特约编辑)
谢宗晓 博士
“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003年起,从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前,已发表论文55篇,出版专著12本。
ISO/IEC 27032:2012发布于2012年7月15日,与其他ISO/IEC 27000标准族的标准一致,该标准也是由ISO/IEC JTC1(信息技术)/SC27(IT 安全技术)
开发。除了所有标准共同的引言外,正文共有13章,资料性附录3个。由于网络安全(cybersecurity)与已有的信息安全(information security)存在诸多一
网络安全指南国际标准(ISO/IEC 27032:2012)介绍
谢宗晓(南开大学商学院)张菡(中国铁路总公司运输局)
摘要:网络安全成为信息安全之后最受关注的领域。本文介绍了ISO/IEC 27032: 2012的主要内容和架构,并重点分析了其中关于利益相关者和资产的概念。
关键词: 网络空间安全 网络安全 ISO/IEC 27032:2012 信息安全
Introduction of ISO/IEC 27032: 2012 (Guidelines for Cybersecurity)
Xie Zongxiao ( Business School, Nankai University )Zhang Han ( Transportation Bureau of China Railway )
Abstract: Cybersecurity becomes the most closely concerned areas. This paper introduced the content and architecture of ISO/IEC 27032: 2012, especially the concepts of stakeholder and asset.Key words: cyberspace security, cybersecurity, ISO/IEC 27032: 2012, information security
1)在信息安全管理系列文章中,已经有2篇相关选题的文章,具体包括:
[1] 谢宗晓. 信息安全、网络安全及赛博安全相关词汇辨析[J]. 中国标准导报,2015(12):30-32. [2] 谢宗晓. 关于网络空间(cyberspace)及其相关词汇的再解析[J]. 中国标准导报,2016(02):26-28.
致之处,ISO/IEC 27032:2012大量借用了已有的信息安全标准,看起来更像一个完整的“索引”,在附录C 中还列出了相关的ISO/IEC 标准以及ITU-T 2)标准。也正源于此,ISO/IEC 27032:2012的标题为Guidelines,而不是Guide,Guidelines 偏重于行动纲领或指导准则,例如由官方宣布但未成法的一些规定。或者说,ISO/IEC 27032:2012实际上是在略去与信息安全相同内容的前提下,用一个标准的篇幅给出了网络安全的框架建立指南。
1 几个安全领域的界定
ISO/IEC 27032: 2012中特别强调了几个安全领域之间的交集和区别,其中包括:
· 信息安全,信息安全主要关注信息保密性、完整性和可用性的保护;
· 应用安全(application security),应用安全是实现部署组织应用的控制措施以及测量的过程,从而实现管理其风险。控制措施与测量可能被部署至
应用本身(包括过程、组件、软件和结果),其中的数据(配置数据、用户数据和组织数据),及所有的技术、过程以及应用生命周期中涉及的角色。
· 网络安全3)(network security)[1-2],网络安全关注组织内部、组织间以及组织与用户间网络的设计、部署以及运维;
· 互联网安全(internet security),互联网安全关注保护互联网相关服务、相关的ICT 系统以及组织内和本地网络安全的延伸;
· 关键信息基础设施保护(critical information infrastructure protection,CIIP),CIIP 主要关注关键设施,例如能源、电信以及水利等。
网络安全与上述几个词汇不是同义词,而是各有侧重。如图1所示。
值得指出的是,ISO/IEC 27032: 2012中还有两种安全:security 与safety。表1中给出了三种网络安全概念的区别。
2)ITU-T,国际电信联盟(International Telecommunication Union)电信标准分支机构(Telecommunication Standardization Sector), ITU-T是国际电信联盟管理下的专门制定电信标准的分支机构。
3)两种网络安全,cybersecurity与network security,是由于翻译的原因产生,在英文中,并无歧义。具体原因,请参考信息安全管理系列中文献[1]与文献[2]的介绍。
图1 几个安全领域的交集与区别
表1 三种网络安全
cybersecurity 网络安全1)保持网络空间中信息的保密性、完整性和可用性;2)这个定义修改自ISO/IEC 27000:2009;3)cybersecurity是cyberspace security的缩写。
cybersafety 网络安全
1)是指保护从而防止物理的、社会的、精神的、金融的、政治的、情绪的、偶然的、心理的、教育的或者其他类型的失败、破坏、错误和事故的影响。2)可见safety比security更广义。
network security 网络安全network security是指“网络(network)的安全”,cybersecurity是指“网络空间(cyberspace)的安全”。英文中缩写并无歧义[2]。
网络犯罪
信息安全应用安全网络安全
网络安全(cybersafety)
互联网安全
关键信息基础设施保护
网络安全
(NETSEC)