ISO27032网络空间安全管理体系认证,ISO27040认证范围和目的-企业易

ISO27032网络空间安全管理体系认证,ISO27040认证范围和目的

2024-06-28 18:02:19

很多企业对ISO27032网络空间安全管理体系认证,ISO27040认证范围和目的都不是很了解,今天企业易就为大家简单介绍一下ISO27032网络空间安全管理体系认证,ISO27040认证范围和目的,希望大家能对ISO27032网络空间安全管理体系认证,ISO27040认证范围和目的有一个深入的了解.如果对ISO27032网络空间安全管理体系认证,ISO27040认证范围和目的还有疑问,可查看更多内容.

ISO27032网络空间安全管理体系认证

ISO/IEC 27032:2012信息技术-安全技术-网络安全准则提供了用于改善网络安全状态的指南，并指出了该活动的独特方面以及对其他安全域的依赖性，尤其是：

●信息安全，

●网络安全，

●互联网安全，以及

●关键信息基础设施保护（CIIP）。

ISO27032认证涵盖了网络空间中利益相关者的基本安全实践。本国际标准规定：

●网络安全概述，

●对网络安全与其他类型的安全之间的关系的解释，

●利益相关者的定义以及他们在网络安全中的角色的描述，

●解决常见网络安全问题的指南，以及

●1个使利益相关者能够在解决网络安全问题上进行协作的框架。

ISO27032认证介绍

●ISO/IEC 27032正式涉及“网络安全或“网络空间安全，定义为“网络空间中信息的机密性，完整性和可用性的维护。反过来，“网络空间（包含定冠词和虚假的CAPItaL）被定义为“复杂的环境，是由互联网上的人，软件和服务通过与之相连的技术设备和网络进行交互而产生的复杂环境。以任何物理形式。

●范围和目的

●实际上，尽管有标题，但该标准实际上是关于互联网安全的。最初的几行给出了标准的内容：

●“标准的重点是解决互联网安全问题，并为解决常见的互联网安全风险提供技术指导...

●该标准没有直接涉及网络安全（例如网络欺凌），网络犯罪，互联网安全，与互联网相关的犯罪，关键信息基础设施的保护或网络战争，尽管这些方面存在倾斜的参考。

ISO27032认证结构和内容

主要部分是：

5.总览

6.网络空间中的资产

7.对网络空间安全的威胁

8.利益相关者在网络安全中的作用

9.利益相关者指南

10.网络安全控制

11.信息共享与协调框架

附件A.网络安全准备

附件B.额外资源

附件C.相关文件举例

按照定义，“网络空间似乎代表着复杂，高度可变或不稳定的虚拟在线环境，因此很难明确相关的信息风险。尽管各种信息风险与“网络空间相关，但许多风险（例如网络和系统黑客，间谍软件和恶意软件，跨站点脚本，SQL注入，社会工程，以及与“ Web 2.0有关的信息安全问题，云通常支持虚拟在线环境和应用程序的计算和虚拟化技术）能够归为普通或常规系统，网络和应用程序安全风险。实际上，该标准主要关注与互联网相关的信息风险，而不是“网络空间本身。可是，由于这些风险已被已发布或正在开发的其他ISO或ISO/IEC信息安全标准很好地涵盖了，因此不明确什么信息风险真正是“网络空间所特有的。该标准提到了属于MMORPG（大型多人在线角色扮演游戏）的虚拟资产参与者的风险，但并未直接解决。在“网络空间领域的不断创新使得在这一领域制定国际标准特别困难，并且尽管它又不在标准范围之内，但它本身能够被归类为信息风险。

ISO27032标准的第7节区分了对个人和组织资产的威胁，这些威胁似乎能够归结为分别损害隐私/身份和公司信息：当然，有许多信息安全标准涵盖了这两个方面。[出于某些晦涩的原因，第7节还提到了对在线政府服务和基础设施的威胁，包含恐怖主义，尽管与“网络空间有什么关系尚不清楚，由于不清楚有任何政府提供虚拟环境或MMORPG，除非“管理国家经济被归类为游戏！]。

ISO27032标准现状

ISO27032标准于2012年发布。

正在以新的工作标题对它进行修订（重写）：“信息技术-网络安全-互联网安全准则。将于2021年出版。

ISO27032修订后的标准将：

●解释互联网安全，网络安全，互联网安全和网络安全之间的关系；

●概述互联网安全；

●明确与互联网安全相关的利益相关方；

●为解决常见的互联网安全问题提供高级指导。

ISO27040认证范围和目的

ISO/IEC 27040:2015标准的提议者认为，由于误解和对存储技术的有限了解，或者在某些存储管理人员和管理员的情况下，对固有信息的了解有限，因此忽略了数据存储系统和基础结构的信息安全方面。风险或基本安全概念。

正如新工作项目提案中所述：

“由于存储历史上对隔离连接，奇异技术和数据中心物理安全的依赖，因此在安全已成为第二要务的环境中，存储已经成熟。即使存储连接已发展为使用基于TCP / IP的Internet小型计算机系统接口（iSCSI）协议之类的技术，也很少有用户利用固有的安全机制或推荐的安全措施（例如，使用IPSEc保护通信）。因此，存储的信息不必要地处于危险之中。

ISO/IEC 27040:2015 认证范围和目的

ISO/IEC 27040:2015认证标准旨在协助计算机存储技术的购买者和用户明确和处理相关的信息风险。范围涵盖设备和媒体的安全性，与设备和媒体，应用程序/服务和最终用户有关的管理活动的安全性，以及与存储相关联的通信链路上传输信息的安全性。

ISO27040:2015认证标准描述了与数据存储相关的信息风险，并进行了控制以减轻风险。目的是：

ISO27040认证提请注意与各种数据存储技术上的信息的机密性，完整性和可用性有关的常见风险；

ISO27040鼓励组织使用适当的信息安全控制措施来改善对存储信息的保护；

例如，通过促进对保护存储数据的信息安全控制措施的审查或审核来提高保证。

ISO27040认证涵盖了与备份/灾难恢复位置和云存储相关的信息安全问题，以及与各种数据存储技术，介质和子系统（例如 SAN，NAS和CAS）上的主/本地存储相关的信息安全问题。

还介绍了介质清理（销毁存储在各种类型的存储介质上的数据）。

ISO27040认证标准非常详细，超过100页。它提到了许多特定的存储技术，这对于ISO27k标准也是不常见的，由于它们通常是通用的，因此是永恒的。