友情提示:本平臺主要功能已遷移至全國標(biāo)準(zhǔn)信息公共服務(wù)平臺,請訪問 http://www.std.gov.cn
收藏本站   設(shè)為首頁
當(dāng)前位置:中澳新 > 正文

網(wǎng)絡(luò)研討會要點:加強對網(wǎng)絡(luò)威脅的防御

發(fā)布時間: 2024-07-26 00:00:00   審校:元宇宙   瀏覽次數(shù):
來源:https://www.standards.org.au/news/webinar-recap-strengthening-defences-against-cyber-threats  

隨著信息安全威脅、網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露的增加,管理這些風(fēng)險對企業(yè)來說從未像現(xiàn)在這樣重要。

AS/NZS ISO/IEC 27001:2023《信息安全、網(wǎng)絡(luò)安全和隱私保護 信息安全管理系統(tǒng) 要求》是世界上最著名的信息安全管理體系(ISMS)標(biāo)準(zhǔn)。作為一個全球公認的框架,該標(biāo)準(zhǔn)有助于企業(yè)建立、推廣、維護和改進信息安全、網(wǎng)絡(luò)安全和隱私保護。

澳大利亞標(biāo)準(zhǔn)局最近舉辦了一場在線活動,重點關(guān)注AS/NZS ISO/IEC 27001:2023。該活動旨在為該標(biāo)準(zhǔn)如何幫助保護組織的信息和資產(chǎn)免受網(wǎng)絡(luò)威脅提供重要參考。網(wǎng)絡(luò)研討會由澳大利亞技術(shù)委員會IT-012(信息安全、網(wǎng)絡(luò)安全和隱私保護)委員會成員、維多利亞州信息專員辦公室信息安全首席顧問Anna Harris主持。在會議期間,Harris女士介紹了該標(biāo)準(zhǔn),并就組織如何有效管理與信息安全威脅相關(guān)的風(fēng)險給出了建議。

該活動還包括現(xiàn)場問答環(huán)節(jié),為與會者提供了提問與標(biāo)準(zhǔn)及其實施相關(guān)問題的機會。

問:一個組織是否可以在沒有獲得正式認證的情況下實施AS/NZS ISO/IEC 27001:2023?

答: 是的,組織可以采用AS/NZS ISO/IEC 27001:2023作為最佳實踐,而無需正式認證。正式認證可以為利益相關(guān)者或客戶提供獨立驗證,但不是強制性的。?

問:為什么一個組織應(yīng)該考慮采用AS/NZS ISO/IEC 27001:2023,而不是ASD Essential 8?

答: ASD Essential 8專注于特定技術(shù),主要關(guān)注微軟系統(tǒng)。它不適用于其他系統(tǒng)或非數(shù)字信息。而AS/NZS ISO/IEC 27001:2023更廣泛,涵蓋了信息安全的各個方面,使其成為一個更全面的選擇。

問:您對希望實施AS/NZS ISO/IEC 27001:2023的中小企業(yè)有什么建議?

答:中小企業(yè)應(yīng)首先了解需要保護的信息。這涉及到與業(yè)務(wù)部門進行研討,以確定有價值的信息,并優(yōu)先考慮保護工作。高管的認同對于成功實施至關(guān)重要。

問:ISO 27000和ISO 27002標(biāo)準(zhǔn)是否免費提供?

答:是的,ISO 27000提供了概述和術(shù)語詞匯,可以免費下載。ISO 27000系列中的其他標(biāo)準(zhǔn)不是免費的。

問:AS/NZS ISO/IEC 27001:2023將如何與操作技術(shù)(OT)系統(tǒng)標(biāo)準(zhǔn)協(xié)調(diào)?

答:如果OT系統(tǒng)采用管理系統(tǒng)標(biāo)準(zhǔn)(MSS),則可以使用相同的結(jié)構(gòu)應(yīng)用AS/NZS ISO/IEC 27001:2023。如果沒有,因為AS/NZS ISO/IEC 27001:2023它是通用的標(biāo)準(zhǔn),所以適用于所有類型的信息,,包括OT環(huán)境。

問:是否最好將AS/NZS ISO/IEC 27001:2023與COBIT 5一起應(yīng)用于IT風(fēng)險管理?

答:AS/NZS ISO/IEC 27001:2023和COBIT 5都涉及IT風(fēng)險管理,但它們的用途不同。COBIT 5是一個整體的IT治理框架,而AS/NZS ISO/IEC 27001:2023是一個全面的信息安全框架。關(guān)鍵是要了解您的具體需求,并從任一標(biāo)準(zhǔn)中應(yīng)用必要的控制措施。AS/NZS ISO/IEC 27001:2023涵蓋了更廣泛的信息安全,而不僅僅是IT系統(tǒng)上的電子信息,而COBIT 5則更廣泛地關(guān)注IT治理。

問:ISO 27017和ISO 27018是否仍然是更新后的ISO 27000系列的一部分?

答:是的,涵蓋云服務(wù)控制的ISO 27017和專注于公共云中個人信息的ISO 27018仍然是ISO 27000系列的一部分。

問:AS/NZS ISO/IEC 27001:2023和IEC 62443之間有什么區(qū)別,為什么承包商可以同時使用這兩種標(biāo)準(zhǔn)?

答:IEC 62443側(cè)重于工業(yè)自動化和控制系統(tǒng)(IACS),而AS/NZS ISO/IEC 27001:2023描述了一種用于業(yè)務(wù)系統(tǒng)的信息安全管理系統(tǒng)。承包商可能會使用這兩種標(biāo)準(zhǔn)來涵蓋更廣泛的安全控制,特別是如果他們?yōu)樗?、天然氣或電力等公用事業(yè)以及公司/企業(yè)環(huán)境的客戶提供服務(wù)。IEC 62443強調(diào)需要與AS/NZS ISO/IEC 27001:2023實踐保持一致,指出IACS安全風(fēng)險可能會對健康、安全和環(huán)境產(chǎn)生影響,應(yīng)與現(xiàn)有風(fēng)險管理實踐相結(jié)合。

?問:如果我的組織將IT外包,那么采用AS/NZS ISO/IEC 27001:2023有什么好處?

答:即使外包IT服務(wù),組織仍然對其信息負責(zé)。AS/NZS ISO/IEC 27001:2023有助于組織管理與外包信息相關(guān)的風(fēng)險,包括硬拷貝和口頭信息。

問:在獲得AS/NZS ISO/IEC 27001:2023認證后,是否還需要ISO 27002認證?

答:否,AS/NZS ISO/IEC 27001:2023認證包括ISO 27002中詳細說明的要求。這是一個涵蓋管理體系和具體控制的認證。

問:如果AS/NZS ISO/IEC 27001:2023的修訂版包括氣候行動,將如何參考?

答:如果在2024年最終確定,該修訂版將被稱為ISO 27001:2023 Amd 1:2024。它將包括與2023年版一起閱讀的補充內(nèi)容。

問:在供應(yīng)鏈和分包商中應(yīng)用AS/NZS ISO/IEC 27001:2023需要深入到什么程度?

答:應(yīng)用的深度取決于與供應(yīng)鏈共享信息的風(fēng)險和價值。更關(guān)鍵的信息可能需要對更廣泛的供應(yīng)鏈進行更深入的審查、更嚴(yán)格的控制和定期審計。

問:我們?nèi)绾卧u估云托管應(yīng)用程序的安全控制?

答:同樣,控制的評估和測試類型將取決于云托管應(yīng)用程序處理的信息、其對業(yè)務(wù)的價值及其相關(guān)風(fēng)險。評估云應(yīng)用程序的安全控制可能涉及旁聽、檢查、滲透測試以及與第三方的定期審查。與云提供商的溝通對于理解和管理風(fēng)險至關(guān)重要。

問:AS/NZS ISO 27001:2023和ISO/IEC 27001:2022之間有什么區(qū)別?

答:AS/NZS ISO 27001:2023完全采用了國際ISO/IEC 27001:2022標(biāo)準(zhǔn)。這意味著AS/NZS ISO/IEC 27001:2022的內(nèi)容、要求和指南與ISO 27001:2023相同。這確保了澳大利亞的組織在信息安全管理系統(tǒng)方面遵循與世界各地相同的國際標(biāo)準(zhǔn)。


  • 版權(quán)所有 侵權(quán)必究
  • 主管:國家標(biāo)準(zhǔn)化管理委員會
  • 主辦:國家標(biāo)準(zhǔn)化管理委員會標(biāo)準(zhǔn)信息中心
  • 運營:北京中標(biāo)賽宇科技有限公司
  • 經(jīng)營許可證編號 京ICP證 號
  • 盜版侵權(quán) 舉報熱線:400-650-6190
  • 關(guān)于我們
  • 技術(shù)團隊
  • 合作伙伴
  • 法律聲明
  • 知識產(chǎn)權(quán)