国际的 ISO/IEC 标准 27032 第二版2023-06 网络安全 指南 网络安全 网络安全 Lignes 指导亲属进行互联网安全 参考编号 IEC ISO/IEC 27032:2023(E) @ISO/IEC 2023 ISO/IEC 27032:2023(E) 受版权保护的文档 SO/IEC2023保留 所有权利。除非另有规定，或在实施过程中要求，否则未经事先许可，不得以任何形式或通过任何方式（电子或机械)复制或使用本出版物的任何部分，包括复印或在互联网或内 联网上发布。书面许可。可以向位于以下地址的ISO或请求者所在国家/地区的ISO成员机构请求许可。 ISO版权局CP401 第1章de Blandonnet 8CH-1214 Vernier，日内瓦电话：+4122 7490111电子邮件： [email protected] 网站: www.iso.org 瑞土出版 ③ISO/IEC2023-保留所有权利 ISO/IEC 27032:2023(E) 内容 页 前言. 介绍. 1 范围 2 规范性参考文献. 3 术语和定义 4 缩写术语 5 互联网安全、网络安全、网络安全和网络安全之间的关 6 互联网安全概述 7 感兴趣的各方 7.1概述 7.2用户 7.3协调机构和标准化组织. 10 7.4政府当局. · 10 7.5执法机构、 10 7.6 互联网服务提供商 10 8 互联网安全风险评估与处置 8.1概述 8.2 威胁. .11 8.3漏洞 8.4攻击向量. .12 9 互联网安全指南. .13 9.1 一般的 9.2互联网安全控制. 9.2.1概述 14 9.2.2互联网安全政策 9.2.3访问控制. 14 9.2.4教育、意识和培训. .15 9.2.5安全事件管理 9.2.6资产管理. 17 9.2.7供应商管理 17号 9.2.8Internet上的业务连续性 .18 9.2.9互联网上的隐私保护. .18 9.2.10漏洞管理. 19 9.2.11网络管理... .20 9.2.12防范恶意软件 9.2.13变更管理. .21 9.2.14确定适用的法规和合规要求 9.2.15密码学的使用 2. 9.2.16面向internet的应用程序的应用程序安全 22 9.2.17端点设备管理 .24 9.2.18监控.. 附录A（资料性)本文件与ISO/IEC27002之间的交叉引用 25 参考书目. ③ISO/IEC2023-保留所有权利 三、 ISO/IEC 27032:2023(E) 前言 ISO（国际标准化组织)和IEC（国际电工委员会)构成了全球标准化的专业体系。作为ISO或IEC成员的国家机构通过各自组织设 立的技术委员会参与国际标准的制定,以处理特定的技术活动领域。ISO和IEC技术委员会在共同感兴趣的领域开展合作。其他政 府和非政府国际组织也与ISO和IEC合作参与了这项工作。 用于制定本文件的程序及其进一步维护的程序在ISO/IEC指令第1部分中进行了描述。特别是,应注意不同类型文件所需的不同批 准标准。本文件是根据ISso/IEC指令第2部分的编辑规则起草的（参见www.iso.org/directives或www.iec.ch/ membersexperts/refdocs) ISO和IEC提请注意本文件的实施可能涉及使用专利的可能性。ISO和IEC对任何所主张的专利权的证据、有效性或适用性不采 取任何立场。截至本文件发布之日，ISO和IEC尚未收到实施本文件可能需要的专利通知。但是,实施者请注意,这可能并不代表最新 信息，最新信息可以从www.iso.org/patents和https://patents.iec.ch上提供的专利数据库中获取。 ISo和IEC不负责识别任 何或所有此类专利权。 本文档中使用的任何商品名称都是为了方便用户而提供的信息,并不构成认可。 有关标准自愿性的解释、与合格评定相关的ISO特定术语和表达方式的含义，以及有关ISO遵守世界贸易组织（WTO）贸易技术壁 垒（TBT）原则的信息，请参见www.iso.org/iso/foreword.html。在IEC中，请参阅www.iec.ch/understanding-standards。 本文件由联合技术委员会ISO/IECJTC1（信息技术）、小组委员会SC27（信息安全、网络安全和隐私保护）编写。 第二版取消并取代了经过技术修订的第一版（ISO/IEC27032:2012)。 主要变化如下： 标题已修改； 文件的结构发生了变化; 改变了风险评估和处理方式,增加了威胁、漏洞和攻击向量的内容，以识别和管理互联网安全风险； 附录A中添加了9.2中引用的互联网安全控制措施与ISO/IEC27002中包含的控制措施之间的映射。 有关本文件的任何反馈或问题应直接提交给用户的国家标准机构。这些机构的完整列表可以在www.iso.org/members.html和 www.iec.ch/national-committees上找到。 四号 ?ISO/IEC2023-保留所有权利 ISO/IEC27032:2023(E) 介绍 本文档的重点是解决互联网安全问题，并为解决常见互联网安全威胁提供指导，例如： 社会工程攻击； 零日攻击； 隐私攻击； 黑客攻击;和 恶意软件、间谍软件和其他潜在有害软件的扩散 软件。 本文件中的指南提供了解决以下问题的技术和非技术控制措施： 互联网安全风险,包括以下方面的控制： 准备攻击； 防止攻击； 检测和监控攻击;和 响应攻击。 该指南的重点是提供行业最佳实践、广泛的消费者和员工教育，以协助感兴趣的各方在应对互联网安全挑战方面发挥积极作用。该文件还重点 关注互联网上信息的机密性、完整性和可用性以及其他属性,例如真实性、责任性、不可否认性和可靠性 这也可能涉及。 这包括以下方面的互联网安全指南： 角色; 政策; -方法; 流程;和 适用的技术控制。 考虑到本文档的范围,所提供的控制措施必然是高层的。文件中引用了适用于每个领域的详细技术规范标准和指南,以提供进一步指导。请参阅 附录A了解本文件中引用的控制措施与ISO/IEC27002中的控制措施之间的对应关系。 统。 互联网安全、网络安全、网络安全和网络安全之间的关系； 9.2中引用的互联网安全控制的详细指南，解决了网络安全准备问题 面向互联网的系统。 ?ISO/IEC2023-保留所有权利 V IS0/IEC 27032:2023(E) 进行攻击,解决相关的安全风险至关重要。 六 @ISO/IEC2023-保留所有权利 国际标准 ISO/IEC27032:2023(E) 网络安全 互联网安全指南 1范围 本文件规定： 解释互联网安全、网络安全、网络安全和网络安全之间的关系 网络安全； 互联网安全概述； 利益相关方的识别及其在互联网安全中的作用的描述； 解决常见互联网安全问题的高级指南。 本文档适用于使用Internet的组织。 2规范性引用文件 考文件的最新版本（包括任何修订）。 ISO/IEC27000，信息技术 安全技术 信息安全管理系统 概述和词汇 3术语和定义 就本文件而言，SO/IEC27000中给出的术语和定义以及以下内容适用。 ISO和IEC在以下地址维护用于标准化的术语数据库： ISO在线浏览平台:https://www.iso.org/obp IEC Electropedia:可在https:/www.electropedia.org/获取 3.1 攻击向量 攻击者可以访问计算机或网络服务器以传递恶意结果的路径或手段 示例1物联网设备 示例2智能手机。 3.2 攻击者 故意利用技术和非技术安全控制中的漏洞来窃取或破坏信息系统和网络，或破坏信息系统和网络资源的合法用户的可用性的人 [来源:ISO/IEC27033-1:2015,3.3] ISO/IEC2023-保留所有权利 1