Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 27032:2023 — 网络安全指南
改善网络安全态势和管理网络风险的指南
ISO/IEC 27032:2023 通过解决网络安全的基础性问题——包括网络安全生态系统、威胁情报、攻击面管理和利益相关者之间的协调——为改善组织的网络安全态势提供了指南。这是对 2012 版的里程碑式更新,反映了勒索软件、供应链攻击、云原生威胁和国家网络行动等急剧变化的威胁态势。
ISO/IEC 27032 在 ISO/IEC 27000 系列中占据独特地位:它是第一个明确定义网络安全与信息安全既不同又相关的标准。信息安全保护信息资产,而网络安全将保护扩展到更广泛的数字环境,包括 OT、IoT、云和网络物理系统。
1. 网络安全生态系统与利益相关者模型
2023 版引入了精炼的网络安全生态系统模型,识别了所有相关利益相关者、他们的角色以及他们之间的信息流。该模型是基础性的,因为网络安全本质上是一项共同责任——没有任何单一组织能够在没有供应商、客户、监管机构和同行组织合作的情况下保护自己。
| 利益相关者 | 生态系统中的角色 | 关键职责 |
|---|---|---|
| 组织(资产所有者) | 负责保护自身资产的主要实体 | 风险管理、控制实施、事件响应、利益相关者协调 |
| 网络威胁情报(CTI)提供者 | 收集、分析和传播威胁信息 | 威胁源发布、失陷指标(IoC)共享、威胁行为者画像 |
| 监管机构和政府 | 建立法律框架和国家网络安全态势 | 立法、国家 CERT/CSIRT 运营、强制性违规报告、行业特定监督 |
| 产品/服务供应商 | 开发和维护安全的产品和服务 | 安全开发生命周期(SDL)、漏洞披露、补丁管理、供应链安全 |
| 行业同行和 ISAC | 共享行业特定威胁情报和最佳实践 | 信息共享与分析中心(ISAC)、同行简报、联合演练、共同防御 |
| 网络安全研究人员 | 发现漏洞并开发对策 | 负责任的披露、已发表研究、开源工具、会议演讲 |
具有成熟网络安全项目的组织积极参与至少一个与其行业领域相关的 ISAC。通过这些同行共享社区收到的情报通常比商业威胁源更早提供新兴威胁的预警,因为这些信息来自直接受到攻击的组织。
2. 攻击面管理与网络威胁情报
ISO/IEC 27032:2023 的主要贡献之一是其关于攻击面管理(ASM)和网络威胁情报(CTI)的结构化指南。该标准将这两者视为互补学科:ASM 告诉您需要保护什么,而 CTI 告诉您需要防范什么。
2.1 攻击面管理
该标准将攻击面定义为未经授权用户可能试图进入或从环境中提取数据的所有点的总和。这包括数字资产(服务器、API、云资源、Web 应用程序)、物理接口(网络插口、控制台端口、无线接入点)和人为因素(社会工程目标、特权用户)。ISO/IEC 27032 建议进行持续资产发现、攻击面映射、漏洞优先级排序和外部攻击面监控——包括暗网凭证泄露监控。
2.2 网络威胁情报
CTI 指南遵循情报生命周期:方向、收集、处理、分析、分发和反馈。该标准区分了战略情报(长期趋势、地缘政治威胁)、运营情报(即将到来的攻击活动、威胁行为者 TTP)、战术情报(特定失陷指标、恶意软件签名)和技术情报(IP 地址、域名、文件哈希)。
| CTI 级别 | 受众 | 示例 | 更新频率 |
|---|---|---|---|
| 战略级 | 高管层、董事会 | “国家威胁行为者正通过供应链攻击越来越多地针对我们的行业” | 每季度 |
| 运营级 | 安全领导、SOC 经理 | “勒索软件组织 X 已开始使用初始访问向量 Y 针对类似组织” | 每周至每月 |
| 战术级 | SOC 分析师、事件响应人员 | “使用 Z 模板的钓鱼攻击活动,投递具有 W 哈希值的恶意软件” | 每天至每周 |
| 技术级 | 自动化防御系统 | “阻止 IP 范围 A、B 的 C2 服务器;更新 CVE-2024-XXXX 的 IDS 签名” | 实时至每小时 |
3. 网络安全协调与事件响应
ISO/IEC 27032:2023 非常重视协调——不仅在组织内部(IT、安全、法务、公关和执行团队之间),而且跨越组织边界。该标准为以下方面提供了框架:
- 跨组织事件响应:与供应商、客户、ISAC 和执法机构预先建立的协调协议。这些协议应涵盖信息共享格式(STIX/TAXII)、通信渠道(安全门户、加密消息传递)、升级路径和共享信息的法律保护。
- 监管协调:许多司法管辖区现在要求在特定时间范围内进行强制性违规通知(例如 GDPR 下的 72 小时)。该标准指导组织建立多司法管辖区通知流程、同时与多个监管机构协调以及管理跨境数据泄露场景。
- 公私合作伙伴关系:与国家网络安全机构互动、参与行业特定网络安全演习以及为国家网络安全战略制定贡献力量的指南。
网络安全事件中最常见的协调失败是”孤岛式响应”——IT 团队处理技术遏制而未让法务(需要评估通知义务)、公关(需要管理外部沟通)或执行领导(需要做出战略决策)参与。ISO/IEC 27032 建议在事件发生前就建立跨职能的网络安全事件响应团队(CSIRT),并预先定义角色和授权。
4. 常见问题解答
问:ISO/IEC 27032:2023 与 2012 版有何不同?
答:2023 版是一次全面的重写。主要变化包括:精炼的网络安全生态系统模型、攻击面管理新指南、扩展的网络威胁情报框架、更新的云安全考虑、供应链风险指导以及与勒索软件、国家攻击和 OT/IoT 安全等现代威胁场景的对齐。
答:2023 版是一次全面的重写。主要变化包括:精炼的网络安全生态系统模型、攻击面管理新指南、扩展的网络威胁情报框架、更新的云安全考虑、供应链风险指导以及与勒索软件、国家攻击和 OT/IoT 安全等现代威胁场景的对齐。
问:ISO/IEC 27032 可以认证吗?
答:不可以。与 ISO/IEC 27002 和 ISO/IEC 27003 一样,ISO/IEC 27032 是指南标准。它提供最佳实践建议,但不适用于认证。寻求可认证的网络安全管理的组织应申请 ISO/IEC 27001 认证并采用适当的附录 A 控制措施。
答:不可以。与 ISO/IEC 27002 和 ISO/IEC 27003 一样,ISO/IEC 27032 是指南标准。它提供最佳实践建议,但不适用于认证。寻求可认证的网络安全管理的组织应申请 ISO/IEC 27001 认证并采用适当的附录 A 控制措施。
问:ISO/IEC 27032 是否取代 ISO/IEC 27001?
答:不。ISO/IEC 27032 通过提供超出传统信息安全范围的网络安全特定指南来补充 ISO/IEC 27001。ISO/IEC 27001 仍然是可认证的管理体系标准;ISO/IEC 27032 提供组织可以纳入其 ISMS 的增强型网络安全指南。
答:不。ISO/IEC 27032 通过提供超出传统信息安全范围的网络安全特定指南来补充 ISO/IEC 27001。ISO/IEC 27001 仍然是可认证的管理体系标准;ISO/IEC 27032 提供组织可以纳入其 ISMS 的增强型网络安全指南。
问:ISO/IEC 27032 与 NIST 网络安全框架有何关系?
答:ISO/IEC 27032 和 NIST CSF 服务类似的目的,但范围和结构不同。NIST CSF(特别是 CSF 2.0)围绕六个功能(治理、识别、保护、检测、响应、恢复)组织。ISO/IEC 27032 使用生态系统和生命周期方法。许多组织互补地使用这两个框架——采用 ISO/IEC 27032 进行国际对齐,采用 NIST CSF 进行细粒度技术指导。
答:ISO/IEC 27032 和 NIST CSF 服务类似的目的,但范围和结构不同。NIST CSF(特别是 CSF 2.0)围绕六个功能(治理、识别、保护、检测、响应、恢复)组织。ISO/IEC 27032 使用生态系统和生命周期方法。许多组织互补地使用这两个框架——采用 ISO/IEC 27032 进行国际对齐,采用 NIST CSF 进行细粒度技术指导。
