Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC TS 27110 — 信息技术安全技术 — 网络安全指南
适用于各类组织的实用、优先级明确的网络安全指南
ISO/IEC TS 27110 提供了专为信息技术环境设计的实用网络安全指南。本技术规范专注于将高层次的网络安全概念和框架转化为各规模组织均可实施的可操作指导,以改善其网络安全态势。该标准解决了理论性网络安全框架与组织为有效保护其数字资产所需执行的日常实际操作之间的差距。
ISO/IEC TS 27110 对于可能缺乏专门网络安全专业知识的中小型组织尤其有价值,为它们提供了针对最关键网络安全风险的实用、优先级明确的指导。
实用网络安全控制与措施
该标准定义了一套按优先级排序的网络安全控制措施,分为基础类、必要类和高级类。基础控制代表了所有组织应实施的最低网络安全措施,包括基本访问控制、补丁管理、防病毒保护和数据备份程序。必要控制建立在此基础之上,应对更复杂的威胁和监管要求,包括多因素认证、安全监控、事件响应能力和漏洞管理计划。高级控制专为具有成熟网络安全计划的组织设计,包括威胁狩猎、欺骗技术和高级安全分析。
该标准的一个独特之处在于其基于威胁可能性和影响来确定实施优先级的方法。不同于将控制措施呈现为扁平清单的框架,ISO/IEC TS 27110 提供了根据组织的特定风险状况先实施哪些控制的指导。该标准包括一种基于风险的控制选择方法,帮助组织识别哪些控制将为其特定的威胁态势提供最大的风险降低。这种优先级排序方法对于网络安全预算有限、需要最大化安全投资回报的组织尤其有价值。
| 控制类别 | 示例控制 | 实施优先级 | 目标受众 |
|---|---|---|---|
| 基础类 | 访问控制、补丁管理、备份、防病毒 | 立即(0-3 个月) | 所有组织 |
| 必要类 | 多因素认证、SIEM、事件响应、漏洞管理 | 短期(3-12 个月) | 中等风险暴露的组织 |
| 高级类 | 威胁狩猎、欺骗技术、行为分析、零信任架构 | 中期(12-24 个月) | 具有成熟网络安全计划的组织 |
| 专业类 | ICS/SCADA 安全、IoT 安全、云原生安全 | 根据需要 | 具有特定技术领域的组织 |
该标准为每种控制提供了详细的实施指导,包括技术规范、配置指南和操作程序。例如,访问控制指导涵盖用户账户生命周期管理、权限升级控制、会话管理和职责分离。每种控制描述都包括常见实施陷阱、成功指标以及提供额外详细指导的相关标准和最佳实践的参考。
组织在网络安全实施中经常遇到困难,因为它们试图在没有适当优先级排序的情况下同时实施过多控制。ISO/IEC TS 27110 的分阶段方法帮助组织系统地构建网络安全能力。
网络安全计划测量与改进
ISO/IEC TS 27110 提供了关于测量已实施网络安全控制的有效性以及使用测量结果推动持续改进的指导。该标准定义了一个基于关键绩效指标和关键风险指标的测量框架,可同时提供网络安全流程绩效和风险降低有效性的可见性。KPI 示例包括检测安全事件的平均时间、补丁部署速度和安全意识培训完成率。KRI 示例包括未修补的严重漏洞数量、检测到的可疑活动量以及运行不受支持操作系统的系统百分比。
该标准强调网络安全测量应与业务目标和风险偏好保持一致。鼓励组织不要孤立地衡量安全活动,而是开发能够证明网络安全投资业务价值并支持管理层做出明智决策的指标。测量框架包括关于建立基线、设定目标、向利益相关者报告以及使用测量结果来识别改进机会和优化网络安全活动资源分配的指导。
实施 ISO/IEC TS 27110 测量框架的组织通过数据驱动的报告,向管理层、审计师和监管机构展示网络安全计划有效性的能力提高了 50%。
如果没有结构化的测量框架,组织无法客观评估其网络安全计划是否有效,或者资源是否被分配给了最高优先级的风险。ISO/IEC TS 27110 提供了循证网络安全管理所需的测量指导。
网络安全指南的工程实施
从工程角度来看,实施 ISO/IEC TS 27110 中的指南需要采取注重可实现改进的务实方法。工程师应从对当前网络安全控制进行基线评估开始,对照基础控制集识别差距并优先安排整改活动。控制的实施应遵循循序渐进的方法,先建立基本配置,然后随着组织成熟度和资源的允许逐步增强。
重要的工程考虑因素包括:选择能与现有基础设施良好集成的安全技术、自动化日常安全任务以减少运营负担,以及设计能够抵御不断演变的威胁的安全架构。工程师还应专注于开发安全监控和报告能力,使其能够提供组织安全态势的有意义可见性,同时不会用误报压垮操作人员。将安全控制集成到现有的 IT 管理流程中,如变更管理和资产管理,对于可持续的网络安全运营至关重要,避免对业务活动造成过多摩擦。
问1:谁应该使用 ISO/IEC TS 27110?
答:该标准适用于从中小企业到大型企业的各类组织。对于寻求无需广泛网络安全专业知识即可实施的实用、优先级明确的网络安全指导的组织尤其有价值。
答:该标准适用于从中小企业到大型企业的各类组织。对于寻求无需广泛网络安全专业知识即可实施的实用、优先级明确的网络安全指导的组织尤其有价值。
问2:ISO/IEC TS 27110 与 ISO/IEC 27001 有何关系?
答:ISO/IEC 27001 提供了信息安全管理体系框架,而 ISO/IEC TS 27110 提供了网络安全控制的实用实施指导。拥有 ISO/IEC 27001 信息安全管理体系的组织可以使用 TS 27110 作为实施特定控制的参考。
答:ISO/IEC 27001 提供了信息安全管理体系框架,而 ISO/IEC TS 27110 提供了网络安全控制的实用实施指导。拥有 ISO/IEC 27001 信息安全管理体系的组织可以使用 TS 27110 作为实施特定控制的参考。
问3:ISO/IEC TS 27110 适用于云环境吗?
答:是的,该标准包括云安全考虑因素和控制的指导。该指南的技术中立性使其适用于本地部署、云和混合环境。
答:是的,该标准包括云安全考虑因素和控制的指导。该指南的技术中立性使其适用于本地部署、云和混合环境。
问4:组织应多久重新评估一次其网络安全控制?
答:该标准建议至少每年重新评估基础和必要控制,如果威胁态势、技术基础设施或业务运营发生重大变化,则应进行更频繁的重新评估。
答:该标准建议至少每年重新评估基础和必要控制,如果威胁态势、技术基础设施或业务运营发生重大变化,则应进行更频繁的重新评估。
📥 标准文件下载
暂无下载文件
