随着信息安全威胁、网络攻击和数据泄露的增加,管理这些风险对企业来说从未像现在这样重要。
AS/NZS ISO/IEC 27001:2023《信息安全、网络安全和隐私保护 信息安全管理系统 要求》是世界上最著名的信息安全管理体系(ISMS)标准。作为一个全球公认的框架,该标准有助于企业建立、推广、维护和改进信息安全、网络安全和隐私保护。
澳大利亚标准局最近举办了一场在线活动,重点关注AS/NZS ISO/IEC 27001:2023。该活动旨在为该标准如何帮助保护组织的信息和资产免受网络威胁提供重要参考。网络研讨会由澳大利亚技术委员会IT-012(信息安全、网络安全和隐私保护)委员会成员、维多利亚州信息专员办公室信息安全首席顾问Anna Harris主持。在会议期间,Harris女士介绍了该标准,并就组织如何有效管理与信息安全威胁相关的风险给出了建议。
该活动还包括现场问答环节,为与会者提供了提问与标准及其实施相关问题的机会。
问:一个组织是否可以在没有获得正式认证的情况下实施AS/NZS ISO/IEC 27001:2023?
答: 是的,组织可以采用AS/NZS ISO/IEC 27001:2023作为最佳实践,而无需正式认证。正式认证可以为利益相关者或客户提供独立验证,但不是强制性的。
问:为什么一个组织应该考虑采用AS/NZS ISO/IEC 27001:2023,而不是ASD Essential 8?
答: ASD Essential 8专注于特定技术,主要关注微软系统。它不适用于其他系统或非数字信息。而AS/NZS ISO/IEC 27001:2023更广泛,涵盖了信息安全的各个方面,使其成为一个更全面的选择。
问:您对希望实施AS/NZS ISO/IEC 27001:2023的中小企业有什么建议?
答:中小企业应首先了解需要保护的信息。这涉及到与业务部门进行研讨,以确定有价值的信息,并优先考虑保护工作。高管的认同对于成功实施至关重要。
问:ISO 27000和ISO 27002标准是否免费提供?
答:是的,ISO 27000提供了概述和术语词汇,可以免费下载。ISO 27000系列中的其他标准不是免费的。
问:AS/NZS ISO/IEC 27001:2023将如何与操作技术(OT)系统标准协调?
答:如果OT系统采用管理系统标准(MSS),则可以使用相同的结构应用AS/NZS ISO/IEC 27001:2023。如果没有,因为AS/NZS ISO/IEC 27001:2023它是通用的标准,所以适用于所有类型的信息,,包括OT环境。
问:是否最好将AS/NZS ISO/IEC 27001:2023与COBIT 5一起应用于IT风险管理?
答:AS/NZS ISO/IEC 27001:2023和COBIT 5都涉及IT风险管理,但它们的用途不同。COBIT 5是一个整体的IT治理框架,而AS/NZS ISO/IEC 27001:2023是一个全面的信息安全框架。关键是要了解您的具体需求,并从任一标准中应用必要的控制措施。AS/NZS ISO/IEC 27001:2023涵盖了更广泛的信息安全,而不仅仅是IT系统上的电子信息,而COBIT 5则更广泛地关注IT治理。
问:ISO 27017和ISO 27018是否仍然是更新后的ISO 27000系列的一部分?
答:是的,涵盖云服务控制的ISO 27017和专注于公共云中个人信息的ISO 27018仍然是ISO 27000系列的一部分。
问:AS/NZS ISO/IEC 27001:2023和IEC 62443之间有什么区别,为什么承包商可以同时使用这两种标准?
答:IEC 62443侧重于工业自动化和控制系统(IACS),而AS/NZS ISO/IEC 27001:2023描述了一种用于业务系统的信息安全管理系统。承包商可能会使用这两种标准来涵盖更广泛的安全控制,特别是如果他们为水、天然气或电力等公用事业以及公司/企业环境的客户提供服务。IEC 62443强调需要与AS/NZS ISO/IEC 27001:2023实践保持一致,指出IACS安全风险可能会对健康、安全和环境产生影响,应与现有风险管理实践相结合。
问:如果我的组织将IT外包,那么采用AS/NZS ISO/IEC 27001:2023有什么好处?
答:即使外包IT服务,组织仍然对其信息负责。AS/NZS ISO/IEC 27001:2023有助于组织管理与外包信息相关的风险,包括硬拷贝和口头信息。
问:在获得AS/NZS ISO/IEC 27001:2023认证后,是否还需要ISO 27002认证?
答:否,AS/NZS ISO/IEC 27001:2023认证包括ISO 27002中详细说明的要求。这是一个涵盖管理体系和具体控制的认证。
问:如果AS/NZS ISO/IEC 27001:2023的修订版包括气候行动,将如何参考?
答:如果在2024年最终确定,该修订版将被称为ISO 27001:2023 Amd 1:2024。它将包括与2023年版一起阅读的补充内容。
问:在供应链和分包商中应用AS/NZS ISO/IEC 27001:2023需要深入到什么程度?
答:应用的深度取决于与供应链共享信息的风险和价值。更关键的信息可能需要对更广泛的供应链进行更深入的审查、更严格的控制和定期审计。
问:我们如何评估云托管应用程序的安全控制?
答:同样,控制的评估和测试类型将取决于云托管应用程序处理的信息、其对业务的价值及其相关风险。评估云应用程序的安全控制可能涉及旁听、检查、渗透测试以及与第三方的定期审查。与云提供商的沟通对于理解和管理风险至关重要。
问:AS/NZS ISO 27001:2023和ISO/IEC 27001:2022之间有什么区别?
答:AS/NZS ISO 27001:2023完全采用了国际ISO/IEC 27001:2022标准。这意味着AS/NZS ISO/IEC 27001:2022的内容、要求和指南与ISO 27001:2023相同。这确保了澳大利亚的组织在信息安全管理系统方面遵循与世界各地相同的国际标准。