網絡安全指南國際標準（ISO/IEC 27032：2012）介紹

謝宗曉（南開大學商學院）張菡（中國鐵路總公司運輸局）

網絡安全指南國際標準（ISO/IEC 27032：2012）介紹

謝宗曉（南開大學商學院）
張菡（中國鐵路總公司運輸局）

網絡安全成為信息安全之后最受關注的領域。本文介紹了ISO/IEC 27032: 2012的主要內容和架構，并重點分析了其中關于利益相關者和資產的概念。

網絡空間安全網絡安全ISO/IEC 27032：2012信息安全

謝宗曉博士

“十二五”國家重點圖書出版規劃項目《信息安全管理體系叢書》執行主編。自2003年起，從事信息安全風險評估與信息安全管理體系的咨詢與培訓工作。目前，已發表論文55篇，出版專著12本。

信息安全管理系列之二十一

在之前的系列文章中，我們詳細界定了網絡（空間）安全的相關概念，并將其與信息安全等詞匯進行了辨析1），但這只是解決了“是什么（What）”和“為什么（Why）”的問題，并沒有解決“怎么做（How）”。ISO/IEC 27032：2012是ISO/IEC 27000標準族中關于網絡安全的指南類標準，下文對其進行了介紹。

謝宗曉（特約編輯）

ISO/IEC 27032：2012發布于2012年7月15日，與其他ISO/IEC 27000標準族的標準一致，該標準也是由ISO/IEC JTC1（信息技術）/SC27（IT安全技術）開發。除了所有標準共同的引言外，正文共有13章，資料性附錄3個。由于網絡安全（cybersecurity）與已有的信息安全（information security）存在諸多一致之處，ISO/IEC 27032：2012大量借用了已有的信息安全標準，看起來更像一個完整的“索引”，在附錄C中還列出了相關的ISO/IEC標準以及ITU-T②ITU-T，國際電信聯盟（International Telecommunication Union）電信標準分支機構（Telecommunication Standardization Sector）, ITU-T是國際電信聯盟管理下的專門制定電信標準的分支機構。標準。也正源于此，ISO/IEC 27032：2012的標題為Guidelines，而不是Guide，Guidelines偏重于行動綱領或指導準則，例如由官方宣布但未成法的一些規定。或者說，ISO/IEC 27032：2012實際上是在略去與信息安全相同內容的前提下，用一個標準的篇幅給出了網絡安全的框架建立指南。

1　幾個安全領域的界定

ISO/IEC 27032: 2012中特別強調了幾個安全領域之間的交集和區別，其中包括：

· 信息安全，信息安全主要關注信息保密性、完整性和可用性的保護；

· 應用安全（application security），應用安全是實現部署組織應用的控制措施以及測量的過程，從而實現管理其風險。控制措施與測量可能被部署至應用本身（包括過程、組件、軟件和結果），其中的數據（配置數據、用戶數據和組織數據），及所有的技術、過程以及應用生命周期中涉及的角色。

· 網絡安全③兩種網絡安全，cybersecurity與network security，是由于翻譯的原因產生，在英文中，并無歧義。具體原因，請參考信息安全管理系列中文獻[1]與文獻[2]的介紹。（network security）[1-2]，網絡安全關注組織內部、組織間以及組織與用戶間網絡的設計、部署以及運維；

· 互聯網安全（internet security），互聯網安全關注保護互聯網相關服務、相關的ICT系統以及組織內和本地網絡安全的延伸；

· 關鍵信息基礎設施保護（critical information infrastructure protection，CIIP），CIIP主要關注關鍵設施，例如能源、電信以及水利等。

網絡安全與上述幾個詞匯不是同義詞，而是各有側重。如圖1所示。

值得指出的是，ISO/IEC 27032: 2012中還有兩種安全：security與safety。表1中給出了三種網絡安全概念的區別。

圖1　幾個安全領域的交集與區別

表1　三種網絡安全

2　網絡安全的基本框架

ISO/IEC 27032：2012架構如圖2所示。

如圖2所示，ISO/IEC 27032: 2012標準的組織并不是圍繞流程展開。從第9章和第12章來看，基本框架實際還是來源于信息安全風險管理[3]。在第9章中，網絡空間中存在諸多威脅，而網絡空間中的資產又存在諸多脆弱性，從而有來自內部或者外部的攻擊（attack）。在第12章中指出，一旦識別出風險，那么部署相應的控制措施。這個框架與現有的信息安全風險管理保持了一致。

圖2　ISO/IEC 27032：2012架構示意圖

3　利益相關者

利益相關者（stakeholders）在信息安全領域，例如ISO/IEC 27001：2013中也有涉及，但并不是非常重要的概念，但是在ISO/IEC 27032：2012中不同，用了較多的篇幅討論利益相關者，同時還給出了兩種定義。

定義1：引用自ISO Guide 73：2009，〈風險管理〉能夠影響、被影響、或感知自己被某個決定或活動影響的人或組織。

定義2：引用自ISO/IEC 12207：2008，〈系統〉擁有一個系統的權力、股份、聲明或興趣的個體或組織，或者具備滿足他們需求與期望的特征。

在網絡空間中，利益相關者可能包括：

· 用戶，包括：

——個體；

——私營或公共組織。

· 供應商，包括但不限于：

——互聯網服務提供商；

——應用服務提供商。

4　網絡空間中的資產

資產在ISO/IEC 27001：2013也是重要的管理對象，例如在“A.8資產管理”中，但是在ISO/ IEC 27001：2013中尤其強調信息分級（information classification），在ISO/IEC 27032：2012中把資產按照歸屬分成個人資產（personal assets）與組織資產（organizational assets），當然資產包括的分類與信息安全中基本還是一致的，包括但不限于：

· 信息；

· 軟件，例如計算機程序；

· 物理的，例如計算機；

· 服務；

· 人，他們的資質，技能和經歷；

· 無形資產，例如聲譽與形象。

基于利益相關者以及資產的分類，ISO/IEC 27032：2012中將方法概述為如圖3所示的架構。

Introduction of ISO/IEC 27032: 2012 (Guidelines for Cybersecurity)

Xie Zongxiao ( Business School, Nankai University )
Zhang Han ( Transportation Bureau of China Railway )

Cybersecurity becomes the most closely concerned areas. This paper introduced the content and architecture of ISO/IEC 27032: 2012, especially the concepts of stakeholder and asset.

cyberspace security, cybersecurity, ISO/IEC 27032: 2012, information security

1）在信息安全管理系列文章中，已經有2篇相關選題的文章，具體包括：

[1] 謝宗曉. 信息安全、網絡安全及賽博安全相關詞匯辨析[J]. 中國標準導報，2015（12）：30-32.

[2] 謝宗曉. 關于網絡空間（cyberspace）及其相關詞匯的再解析[J]. 中國標準導報，2016（02）：26-28.