網(wǎng)絡(luò)研討會(huì)要點(diǎn)：加強(qiáng)對(duì)網(wǎng)絡(luò)威脅的防御

隨著信息安全威脅、網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露的增加，管理這些風(fēng)險(xiǎn)對(duì)企業(yè)來(lái)說(shuō)從未像現(xiàn)在這樣重要。

AS/NZS ISO/IEC 27001:2023《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù) 信息安全管理系統(tǒng) 要求》是世界上最著名的信息安全管理體系（ISMS）標(biāo)準(zhǔn)。作為一個(gè)全球公認(rèn)的框架，該標(biāo)準(zhǔn)有助于企業(yè)建立、推廣、維護(hù)和改進(jìn)信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)。

澳大利亞標(biāo)準(zhǔn)局最近舉辦了一場(chǎng)在線活動(dòng)，重點(diǎn)關(guān)注AS/NZS ISO/IEC 27001:2023。該活動(dòng)旨在為該標(biāo)準(zhǔn)如何幫助保護(hù)組織的信息和資產(chǎn)免受網(wǎng)絡(luò)威脅提供重要參考。網(wǎng)絡(luò)研討會(huì)由澳大利亞技術(shù)委員會(huì)IT-012（信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)）委員會(huì)成員、維多利亞州信息專員辦公室信息安全首席顧問(wèn)Anna Harris主持。在會(huì)議期間，Harris女士介紹了該標(biāo)準(zhǔn)，并就組織如何有效管理與信息安全威脅相關(guān)的風(fēng)險(xiǎn)給出了建議。

該活動(dòng)還包括現(xiàn)場(chǎng)問(wèn)答環(huán)節(jié)，為與會(huì)者提供了提問(wèn)與標(biāo)準(zhǔn)及其實(shí)施相關(guān)問(wèn)題的機(jī)會(huì)。

問(wèn)：一個(gè)組織是否可以在沒(méi)有獲得正式認(rèn)證的情況下實(shí)施AS/NZS ISO/IEC 27001:2023？

答: 是的，組織可以采用AS/NZS ISO/IEC 27001:2023作為最佳實(shí)踐，而無(wú)需正式認(rèn)證。正式認(rèn)證可以為利益相關(guān)者或客戶提供獨(dú)立驗(yàn)證，但不是強(qiáng)制性的。?

問(wèn)：為什么一個(gè)組織應(yīng)該考慮采用AS/NZS ISO/IEC 27001:2023，而不是ASD Essential 8？

答: ASD Essential 8專注于特定技術(shù)，主要關(guān)注微軟系統(tǒng)。它不適用于其他系統(tǒng)或非數(shù)字信息。而AS/NZS ISO/IEC 27001:2023更廣泛，涵蓋了信息安全的各個(gè)方面，使其成為一個(gè)更全面的選擇。

問(wèn)：您對(duì)希望實(shí)施AS/NZS ISO/IEC 27001:2023的中小企業(yè)有什么建議？

答：中小企業(yè)應(yīng)首先了解需要保護(hù)的信息。這涉及到與業(yè)務(wù)部門(mén)進(jìn)行研討，以確定有價(jià)值的信息，并優(yōu)先考慮保護(hù)工作。高管的認(rèn)同對(duì)于成功實(shí)施至關(guān)重要。

問(wèn)：ISO 27000和ISO 27002標(biāo)準(zhǔn)是否免費(fèi)提供？

答：是的，ISO 27000提供了概述和術(shù)語(yǔ)詞匯，可以免費(fèi)下載。ISO 27000系列中的其他標(biāo)準(zhǔn)不是免費(fèi)的。

問(wèn)：AS/NZS ISO/IEC 27001:2023將如何與操作技術(shù)（OT）系統(tǒng)標(biāo)準(zhǔn)協(xié)調(diào)？

答：如果OT系統(tǒng)采用管理系統(tǒng)標(biāo)準(zhǔn)（MSS），則可以使用相同的結(jié)構(gòu)應(yīng)用AS/NZS ISO/IEC 27001:2023。如果沒(méi)有，因?yàn)锳S/NZS ISO/IEC 27001:2023它是通用的標(biāo)準(zhǔn)，所以適用于所有類型的信息，，包括OT環(huán)境。

問(wèn)：是否最好將AS/NZS ISO/IEC 27001:2023與COBIT 5一起應(yīng)用于IT風(fēng)險(xiǎn)管理？

答：AS/NZS ISO/IEC 27001:2023和COBIT 5都涉及IT風(fēng)險(xiǎn)管理，但它們的用途不同。COBIT 5是一個(gè)整體的IT治理框架，而AS/NZS ISO/IEC 27001:2023是一個(gè)全面的信息安全框架。關(guān)鍵是要了解您的具體需求，并從任一標(biāo)準(zhǔn)中應(yīng)用必要的控制措施。AS/NZS ISO/IEC 27001:2023涵蓋了更廣泛的信息安全，而不僅僅是IT系統(tǒng)上的電子信息，而COBIT 5則更廣泛地關(guān)注IT治理。

問(wèn)：ISO 27017和ISO 27018是否仍然是更新后的ISO 27000系列的一部分？

答：是的，涵蓋云服務(wù)控制的ISO 27017和專注于公共云中個(gè)人信息的ISO 27018仍然是ISO 27000系列的一部分。

問(wèn)：AS/NZS ISO/IEC 27001:2023和IEC 62443之間有什么區(qū)別，為什么承包商可以同時(shí)使用這兩種標(biāo)準(zhǔn)？

答：IEC 62443側(cè)重于工業(yè)自動(dòng)化和控制系統(tǒng)（IACS），而AS/NZS ISO/IEC 27001:2023描述了一種用于業(yè)務(wù)系統(tǒng)的信息安全管理系統(tǒng)。承包商可能會(huì)使用這兩種標(biāo)準(zhǔn)來(lái)涵蓋更廣泛的安全控制，特別是如果他們?yōu)樗?、天然氣或電力等公用事業(yè)以及公司/企業(yè)環(huán)境的客戶提供服務(wù)。IEC 62443強(qiáng)調(diào)需要與AS/NZS ISO/IEC 27001:2023實(shí)踐保持一致，指出IACS安全風(fēng)險(xiǎn)可能會(huì)對(duì)健康、安全和環(huán)境產(chǎn)生影響，應(yīng)與現(xiàn)有風(fēng)險(xiǎn)管理實(shí)踐相結(jié)合。

?問(wèn)：如果我的組織將IT外包，那么采用AS/NZS ISO/IEC 27001:2023有什么好處？

答：即使外包IT服務(wù)，組織仍然對(duì)其信息負(fù)責(zé)。AS/NZS ISO/IEC 27001:2023有助于組織管理與外包信息相關(guān)的風(fēng)險(xiǎn)，包括硬拷貝和口頭信息。

問(wèn)：在獲得AS/NZS ISO/IEC 27001:2023認(rèn)證后，是否還需要ISO 27002認(rèn)證？

答：否，AS/NZS ISO/IEC 27001:2023認(rèn)證包括ISO 27002中詳細(xì)說(shuō)明的要求。這是一個(gè)涵蓋管理體系和具體控制的認(rèn)證。

問(wèn)：如果AS/NZS ISO/IEC 27001:2023的修訂版包括氣候行動(dòng)，將如何參考？

答：如果在2024年最終確定，該修訂版將被稱為ISO 27001:2023 Amd 1:2024。它將包括與2023年版一起閱讀的補(bǔ)充內(nèi)容。

問(wèn)：在供應(yīng)鏈和分包商中應(yīng)用AS/NZS ISO/IEC 27001:2023需要深入到什么程度？

答：應(yīng)用的深度取決于與供應(yīng)鏈共享信息的風(fēng)險(xiǎn)和價(jià)值。更關(guān)鍵的信息可能需要對(duì)更廣泛的供應(yīng)鏈進(jìn)行更深入的審查、更嚴(yán)格的控制和定期審計(jì)。

問(wèn)：我們?nèi)绾卧u(píng)估云托管應(yīng)用程序的安全控制？

答：同樣，控制的評(píng)估和測(cè)試類型將取決于云托管應(yīng)用程序處理的信息、其對(duì)業(yè)務(wù)的價(jià)值及其相關(guān)風(fēng)險(xiǎn)。評(píng)估云應(yīng)用程序的安全控制可能涉及旁聽(tīng)、檢查、滲透測(cè)試以及與第三方的定期審查。與云提供商的溝通對(duì)于理解和管理風(fēng)險(xiǎn)至關(guān)重要。

問(wèn)：AS/NZS ISO 27001:2023和ISO/IEC 27001:2022之間有什么區(qū)別？

答：AS/NZS ISO 27001:2023完全采用了國(guó)際ISO/IEC 27001:2022標(biāo)準(zhǔn)。這意味著AS/NZS ISO/IEC 27001:2022的內(nèi)容、要求和指南與ISO 27001:2023相同。這確保了澳大利亞的組織在信息安全管理系統(tǒng)方面遵循與世界各地相同的國(guó)際標(biāo)準(zhǔn)。