谢宗晓（南开大学商学院）张菡（中国铁路总公司运输局）

网络安全指南国际标准（ISO/IEC 27032：2012）介绍

谢宗晓（南开大学商学院）
张菡（中国铁路总公司运输局）

网络安全成为信息安全之后最受关注的领域。本文介绍了ISO/IEC 27032: 2012的主要内容和架构，并重点分析了其中关于利益相关者和资产的概念。

网络空间安全网络安全ISO/IEC 27032：2012信息安全

谢宗晓博士

“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003年起，从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前，已发表论文55篇，出版专著12本。

信息安全管理系列之二十一

在之前的系列文章中，我们详细界定了网络（空间）安全的相关概念，并将其与信息安全等词汇进行了辨析1），但这只是解决了“是什么（What）”和“为什么（Why）”的问题，并没有解决“怎么做（How）”。ISO/IEC 27032：2012是ISO/IEC 27000标准族中关于网络安全的指南类标准，下文对其进行了介绍。

谢宗晓（特约编辑）

ISO/IEC 27032：2012发布于2012年7月15日，与其他ISO/IEC 27000标准族的标准一致，该标准也是由ISO/IEC JTC1（信息技术）/SC27（IT安全技术）开发。除了所有标准共同的引言外，正文共有13章，资料性附录3个。由于网络安全（cybersecurity）与已有的信息安全（information security）存在诸多一致之处，ISO/IEC 27032：2012大量借用了已有的信息安全标准，看起来更像一个完整的“索引”，在附录C中还列出了相关的ISO/IEC标准以及ITU-T②ITU-T，国际电信联盟（International Telecommunication Union）电信标准分支机构（Telecommunication Standardization Sector）, ITU-T是国际电信联盟管理下的专门制定电信标准的分支机构。标准。也正源于此，ISO/IEC 27032：2012的标题为Guidelines，而不是Guide，Guidelines偏重于行动纲领或指导准则，例如由官方宣布但未成法的一些规定。或者说，ISO/IEC 27032：2012实际上是在略去与信息安全相同内容的前提下，用一个标准的篇幅给出了网络安全的框架建立指南。

1　几个安全领域的界定

ISO/IEC 27032: 2012中特别强调了几个安全领域之间的交集和区别，其中包括：

· 信息安全，信息安全主要关注信息保密性、完整性和可用性的保护；

· 应用安全（application security），应用安全是实现部署组织应用的控制措施以及测量的过程，从而实现管理其风险。控制措施与测量可能被部署至应用本身（包括过程、组件、软件和结果），其中的数据（配置数据、用户数据和组织数据），及所有的技术、过程以及应用生命周期中涉及的角色。

· 网络安全③两种网络安全，cybersecurity与network security，是由于翻译的原因产生，在英文中，并无歧义。具体原因，请参考信息安全管理系列中文献[1]与文献[2]的介绍。（network security）[1-2]，网络安全关注组织内部、组织间以及组织与用户间网络的设计、部署以及运维；

· 互联网安全（internet security），互联网安全关注保护互联网相关服务、相关的ICT系统以及组织内和本地网络安全的延伸；

· 关键信息基础设施保护（critical information infrastructure protection，CIIP），CIIP主要关注关键设施，例如能源、电信以及水利等。

网络安全与上述几个词汇不是同义词，而是各有侧重。如图1所示。

值得指出的是，ISO/IEC 27032: 2012中还有两种安全：security与safety。表1中给出了三种网络安全概念的区别。

图1　几个安全领域的交集与区别

表1　三种网络安全

2　网络安全的基本框架

ISO/IEC 27032：2012架构如图2所示。

如图2所示，ISO/IEC 27032: 2012标准的组织并不是围绕流程展开。从第9章和第12章来看，基本框架实际还是来源于信息安全风险管理[3]。在第9章中，网络空间中存在诸多威胁，而网络空间中的资产又存在诸多脆弱性，从而有来自内部或者外部的攻击（attack）。在第12章中指出，一旦识别出风险，那么部署相应的控制措施。这个框架与现有的信息安全风险管理保持了一致。

图2　ISO/IEC 27032：2012架构示意图

3　利益相关者

利益相关者（stakeholders）在信息安全领域，例如ISO/IEC 27001：2013中也有涉及，但并不是非常重要的概念，但是在ISO/IEC 27032：2012中不同，用了较多的篇幅讨论利益相关者，同时还给出了两种定义。

定义1：引用自ISO Guide 73：2009，〈风险管理〉能够影响、被影响、或感知自己被某个决定或活动影响的人或组织。

定义2：引用自ISO/IEC 12207：2008，〈系统〉拥有一个系统的权力、股份、声明或兴趣的个体或组织，或者具备满足他们需求与期望的特征。

在网络空间中，利益相关者可能包括：

· 用户，包括：

——个体；

——私营或公共组织。

· 供应商，包括但不限于：

——互联网服务提供商；

——应用服务提供商。

4　网络空间中的资产

资产在ISO/IEC 27001：2013也是重要的管理对象，例如在“A.8资产管理”中，但是在ISO/ IEC 27001：2013中尤其强调信息分级（information classification），在ISO/IEC 27032：2012中把资产按照归属分成个人资产（personal assets）与组织资产（organizational assets），当然资产包括的分类与信息安全中基本还是一致的，包括但不限于：

· 信息；

· 软件，例如计算机程序；

· 物理的，例如计算机；

· 服务；

· 人，他们的资质，技能和经历；

· 无形资产，例如声誉与形象。

基于利益相关者以及资产的分类，ISO/IEC 27032：2012中将方法概述为如图3所示的架构。

Introduction of ISO/IEC 27032: 2012 (Guidelines for Cybersecurity)

Xie Zongxiao ( Business School, Nankai University )
Zhang Han ( Transportation Bureau of China Railway )

Cybersecurity becomes the most closely concerned areas. This paper introduced the content and architecture of ISO/IEC 27032: 2012, especially the concepts of stakeholder and asset.

cyberspace security, cybersecurity, ISO/IEC 27032: 2012, information security

1）在信息安全管理系列文章中，已经有2篇相关选题的文章，具体包括：

[1] 谢宗晓. 信息安全、网络安全及赛博安全相关词汇辨析[J]. 中国标准导报，2015（12）：30-32.

[2] 谢宗晓. 关于网络空间（cyberspace）及其相关词汇的再解析[J]. 中国标准导报，2016（02）：26-28.